Protección de datos en Amazon Forecast - Amazon Forecast
Cifrado en reposoCifrado en tránsito y procesamientoCómo utiliza Amazon Forecast las subvenciones en AWS KMSCreación de una clave administrada por el clienteSupervisión de las claves de cifrado para Amazon Forecast Service

Amazon Forecast ya no está disponible para nuevos clientes. Los clientes actuales de Amazon Forecast pueden seguir utilizando el servicio con normalidad. Más información

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en Amazon Forecast

El modelo de se aplica a protección de datos en Amazon Forecast. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS .

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utiliza la autenticación multifactor (MFA) en cada cuenta.

  • Se utiliza SSL/TLS para comunicarse con AWS los recursos. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.

  • Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Cómo trabajar con CloudTrail senderos en la Guía del AWS CloudTrail usuario.

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

  • Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.

  • Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta Estándar de procesamiento de la información federal (FIPS) 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con Forecast u otro tipo de Servicios de AWS uso de la consola AWS CLI, la API o AWS SDKs. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya la información de las credenciales en la URL para validar la solicitud para ese servidor.

Cifrado en reposo

En Amazon Forecast, la configuración de cifrado se proporciona durante las operaciones CreateDataset y CreatePredictor. Si la operación incluye una configuración de cifrado, en la CreateDataset operación se utilizará su rol de CMK e IAM para el CreateDatasetImportJob cifrado en reposo.

Por ejemplo, si proporciona el KMSKey Arn y una de su clave RoleArn en la EncryptionConfig declaración de la CreateDataset operación, Forecast asumirá esa función y utilizará la clave para cifrar el conjunto de datos. Si no se proporciona ninguna configuración, Forecast utiliza las claves de servicio predeterminadas para el cifrado. Además, si proporciona la EncryptionConfig información para la CreatePredictor operación, todas las operaciones posteriores, como CreateForecast y CreatePredictorExplanability CreatePredictorBacktestExportJob, utilizarán la misma configuración para realizar el cifrado en reposo. De nuevo, si no proporciona una configuración de cifrado, Forecast utilizará el cifrado de servicio predeterminado.

Para todos los datos almacenados en su bucket de Amazon S3, los datos se cifran con la clave de Amazon S3 predeterminada. También puedes usar tu propia AWS KMS clave para cifrar tus datos y dar acceso a Forecast a esta clave. Para más información sobre el cifrado de datos en Amazon S3, consulte Protección de datos mediante cifrado. Para obtener información sobre cómo administrar su propia AWS KMS clave, consulte Administrar claves en la Guía para AWS Key Management Service desarrolladores.

Cifrado en tránsito y procesamiento

Amazon Forecast utiliza TLS con AWS certificados para cifrar los datos que se envían a otros AWS servicios. Cualquier comunicación con otros AWS servicios se realiza a través de HTTPS, y los puntos de conexión de Forecast solo admiten conexiones seguras a través de HTTPS.

Amazon Forecast copia los datos de tu cuenta y los procesa en un AWS sistema interno. Al procesar datos, Forecast cifra los datos con una AWS KMS clave de Forecast o con cualquier AWS KMS clave que usted proporcione.

Cómo utiliza Amazon Forecast las subvenciones en AWS KMS

Amazon Forecast requiere una concesión para utilizar su clave administrada por el cliente.

Forecast crea una concesión mediante el rol de IAM que se transfiere durante EncryptionConfigla CreateDatasetoperación CreatePredictoro. Forecast asume la el rol y realiza una operación de creación de concesiones en su nombre. Consulte Configuración del rol de IAM para obtener más información.

Sin embargo, cuando creas un predictor cifrado con una clave gestionada por el cliente, Amazon Forecast crea una subvención en tu nombre enviando una CreateGrantsolicitud a AWS KMS. Las concesiones in AWS KMS se utilizan para dar a Amazon Forecast acceso a una AWS KMS clave de la cuenta de un cliente.

Amazon Forecast requiere la concesión para poder utilizar la clave gestionada por el cliente a la que enviar solicitudes de descifrado con el AWS KMS fin de leer los artefactos del conjunto de datos cifrados. Forecast también utiliza la concesión para enviar GenerateDataKey solicitudes a AWS KMS fin de volver a cifrar los artefactos de entrenamiento y devolverlos a Amazon S3.

Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, Amazon Forecast no podrá acceder a ninguno de los datos cifrados por la clave administrada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si intentas realizar la CreateForecast operación en un predictor cifrado al que Amazon Forecast no puede acceder, la operación devolverá un AccessDeniedException error.

Creación de una clave administrada por el cliente

Puede crear una clave simétrica gestionada por el cliente mediante la API AWS Management Console o la AWS KMS misma. Para crear una clave simétrica administrada por el cliente, siga los pasos para crear claves asimétricas administradas por el cliente de la Guía del desarrollador de AWS Key Management Service .

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administración del acceso a las claves en la Guía para desarrolladores de AWS Key Management Service .

Para utilizar su clave administrada por el cliente con sus recursos de Amazon Forecast, en la política de claves deben permitirse las siguientes operaciones de API:

  • kms: DescribeKey — Proporciona los detalles clave gestionados por el cliente que permiten a Amazon Forecast validar la clave.

  • kms: CreateGrant — Añade una concesión a una clave gestionada por el cliente. Concede acceso de control a una AWS KMS clave específica, que permite el acceso a las operaciones de subvención que Amazon Forecast requiere. Esta operación permite que Amazon Forecast llame a GenerateDataKey para generar una clave de datos cifrada y almacenarla, ya que la clave de datos no se utiliza inmediatamente para el cifrado. Además, la operación permite a Amazon Forecast llamar a Decrypt para que pueda usar la clave de datos cifrados almacenada y acceder a los datos cifrados.

  • kms: RetireGrant - Retira todas las subvenciones concedidas durante la CreateGrant operación una vez finalizada la operación.

nota

Amazon Forecast realiza una validación de kms:Decrypt y kms:GenerateDataKey de la identidad de la persona que llama. Recibirás una AccessDeniedException en caso de que la persona que llama no tenga los permisos correspondientes. La política de claves también debe parecerse al código siguiente:

"Effect": "Allow",
"Principal": {
    "AWS": “AWS Invoking Identity”
},
"Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey”
    ],
    "Resource": "*"
}

Para obtener más información, consulte Política de IAM.

Los siguientes son ejemplos de declaraciones de política que puede agregar para Amazon Forecast. Estos son los permisos mínimos necesarios, que también se pueden añadir mediante las políticas de IAM.

  "Statement" : [ 
    {"Sid" : "Allow access to principals authorized to use Amazon Forecast",
      "Effect" : "Allow",
      "Principal" : {"AWS" : "arn:aws:iam::111122223333:role/ROLE_PASSED_TO_FORECAST"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:RetireGrant"
      ],
      "Resource" : "*",
      "Condition" : {"StringEquals" : {"kms:ViaService" : "forecast.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {"Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    }
  ]

Consulte la Guía para desarrolladores de AWS Key Management Service para obtener información sobre cómo especificar permisos en una política y cómo solucionar problemas de acceso a las claves.

Supervisión de las claves de cifrado para Amazon Forecast Service

Cuando utilizas una clave gestionada por el AWS KMS cliente con tus recursos de Amazon Forecast Service, puedes utilizar AWS CloudTrailAmazon CloudWatch Logs para realizar un seguimiento de las solicitudes a las que Forecast envía AWS KMS. Los siguientes ejemplos son AWS CloudTrail eventos para y DescribeKey para CreateGrant monitorizar AWS KMS las operaciones solicitadas por Amazon Forecast para acceder a los datos cifrados por la clave gestionada por el cliente. RetireGrant

DescribeKey
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T21:16:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T21:16:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
CreateGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T23:10:27Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T23:10:27Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "Decrypt",
            "GenerateDataKey"
        ],
        "granteePrincipal": "AWS Internal",
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
RetireGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-06T04:56:14Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-06T04:56:14Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "RetireGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}