Protección de los datos en AWS IoT Core
El modelo de responsabilidad compartida
Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
-
Utiliza la autenticación multifactor (MFA) en cada cuenta.
-
Utiliza SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
-
Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulta Working with CloudTrail trails en la Guía del usuario de AWS CloudTrail.
-
Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
-
Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
-
Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta Estándar de procesamiento de la información federal (FIPS) 140-3
.
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye las situaciones en las que debe trabajar con la AWS IoT u otros Servicios de AWS a través de la consola, la API, la AWS CLI o los SDK de AWS. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelo de responsabilidad compartida de AWS y GDPR
AWS IoTLos dispositivos de recopilan datos, realizan alguna manipulación en dichos datos y, a continuación, los envían a otro servicio web. Es posible que decida almacenar algunos datos en su dispositivo durante un breve período de tiempo. Usted es responsable de proporcionar cualquier protección de datos sobre dichos datos en reposo. Cuando el dispositivo le envía datos a AWS IoT, lo hace a través de una conexión TLS, como se explica más adelante en esta sección. Los dispositivos de AWS IoT pueden enviar datos a cualquier servicio de AWS. Para obtener más información acerca de la seguridad de datos de cada servicio, consulte la documentación de ese servicio. AWS IoT se puede configurar para escribir registros en Registros de CloudWatch y para registrar llamadas a la API de AWS IoT en AWS CloudTrail. Para obtener más información acerca de la seguridad de datos para estos servicios, consulte Autenticación y control de acceso para Amazon CloudWatch y Cifrado de archivos de registro de CloudTrail con claves administradas por AWS KMS.
Cifrado de datos en AWS IoT
De forma predeterminada, todos los datos de AWS IoT en tránsito y en reposo están cifrados. Los datos en tránsito se cifran con TLS y los datos en reposo se cifran con claves propiedad de AWS. AWS IoT admite AWS KMS keys administradas por el cliente (claves de KMS) desde el Servicio de administración de claves de AWS (AWS KMS). Sin embargo, Device Advisor e AWS IoT Wireless utilizan únicamente una Clave propiedad de AWS para cifrar los datos de los clientes.
