Cifrado en Amazon MWAA - Amazon Managed Workflows para Apache Airflow
Cifrado en reposoCifrado en tránsito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado en Amazon MWAA

En los siguientes temas se describe la manera en que Amazon MWAA protege los datos en reposo y los datos en tránsito. Utilice esta información para obtener información sobre cómo Amazon MWAA se integra AWS KMS para cifrar los datos en reposo y cómo se cifran los datos mediante el protocolo Transport Layer Security (TLS) en tránsito.

Cifrado en reposo

En Amazon MWAA, los datos en reposo son datos que el servicio guarda en medios persistentes.

Puede utilizar una clave propia para el cifrado AWS de los datos en reposo o, si lo desea, proporcionar una clave administrada por el cliente para un cifrado adicional al crear un entorno. Si decide utilizar una clave KMS administrada por el cliente, debe estar en la misma cuenta que los demás AWS recursos y servicios que utilice en su entorno.

Para usar una clave KMS administrada por el cliente, debe adjuntar la declaración de política requerida para CloudWatch acceder a su política clave. Cuando utiliza una clave de KMS gestionada por el cliente para su entorno, Amazon MWAA concede cuatro concesiones en su nombre. Para obtener más información sobre las concesiones que Amazon MWAA concede a una clave de KMS gestionada por el cliente, consulte Claves gestionadas por el cliente para el cifrado de datos.

Si no especifica una clave de KMS gestionada por el cliente, de forma predeterminada, Amazon MWAA utiliza una clave de KMS AWS propia para cifrar y descifrar los datos. Recomendamos utilizar una clave AWS KMS propia para gestionar el cifrado de datos en Amazon MWAA.

nota

Usted paga por el almacenamiento y el uso de las claves de KMS AWS propias o administradas por el cliente en Amazon MWAA. Para obtener más información, consulta los precios.AWS KMS

Artefactos de cifrado

Usted especifica los artefactos de cifrado utilizados para el cifrado en reposo especificando una clave propia o una clave AWS administrada por el cliente al crear su entorno de Amazon MWAA. Amazon MWAA se encargará de añadir la concesiones necesarias a la clave especificada.

Amazon S3: los datos de Amazon S3 se cifran a nivel de objeto mediante el cifrado del servidor (SSE). En Amazon S3, el cifrado y el descifrado se llevan a cabo en el bucket de Amazon S3 en el cual estén almacenados el código de sus DAG y los archivos auxiliares. Los objetos se cifran al cargarlos en Amazon S3 y se descifran al descargarlos de su entorno de Amazon MWAA. De forma predeterminada, si utiliza una clave de KMS gestionada por el cliente, Amazon MWAA la utiliza para leer y descifrar los datos de su bucket de Amazon S3.

CloudWatch Registros: si utiliza una clave KMS AWS propia, los registros de Apache Airflow enviados a CloudWatch Logs se cifran mediante SSE con la clave KMS AWS propiedad de CloudWatch Logs. Si utiliza una clave de KMS gestionada por el cliente, debe añadir una política de claves a su clave de KMS para permitir que CloudWatch Logs utilice su clave.

Amazon SQS: Amazon MWAA creará una cola de Amazon SQS para su entorno. Amazon MWAA gestiona el cifrado de los datos que se pasan a y desde la cola mediante SSE con una clave de KMS propia o con una clave de KMS AWS gestionada por el cliente que usted especifique. Debe añadir los permisos de Amazon SQS a su función de ejecución, independientemente de si utiliza una clave de KMS propia o AWS gestionada por el cliente.

Aurora PostgreSQL: Amazon MWAA creará un clúster de PostgreSQL para su entorno. Aurora PostgreSQL cifra el contenido con AWS una clave KMS propia o administrada por el cliente mediante SSE. Si utiliza una clave de KMS administrada por el cliente, Amazon RDS añade al menos dos concesiones a la clave: una para el clúster y otra para la instancia de base de datos. Amazon RDS podría crear subvenciones adicionales si decide utilizar la clave de KMS gestionada por el cliente en varios entornos. Para obtener más información, consulte Protección de datos en Amazon RDS.

Cifrado en tránsito

Los datos en tránsito se denominan datos que pueden interceptarse a medida que viajan por la red.

Transport Layer Security (TLS) cifra los objetos de Amazon MWAA en tránsito entre los componentes de Apache Airflow de su entorno y otros servicios AWS que se integran con Amazon MWAA, como Amazon S3. Para obtener más información sobre el cifrado de Amazon S3, consulte Protección de datos mediante cifrado.