Cifrado en Amazon MWAA - Amazon Managed Workflows para Apache Airflow
Cifrado en reposoCifrado en tránsito

Cifrado en Amazon MWAA

En los siguientes temas se describe la manera en que Amazon MWAA protege los datos en reposo y los datos en tránsito. Utilice esta información para conocer cómo Amazon MWAA se integra con AWS KMS para cifrar los datos en reposo y cómo se cifran los datos en tránsito mediante el protocolo de seguridad de la capa de transporte (TLS).

Cifrado en reposo

En Amazon MWAA, los datos en reposo son datos que el servicio guarda en medios persistentes.

Al crear un entorno, puede usar una clave propiedad de AWS para el cifrado de los datos en reposo o, si lo desea, proporcionar una clave administrada por el cliente para otro cifrado. Si opta por usar una clave de KMS administrada por el cliente, tenga en cuenta que deberá estar en la misma cuenta que los demás recursos y servicios de AWS que use en el entorno.

Para usar una clave de KMS administrada por el cliente, debe asociar a su política de claves la instrucción de política necesaria para el acceso de CloudWatch. Si usa una clave de KMS administrada por el cliente para su entorno, Amazon MWAA asocia cuatro concesiones en su nombre. Para obtener más información sobre las concesiones que Amazon MWAA asocia a una clave de KMS administrada por el cliente, consulte las claves administradas por el cliente para el cifrado de datos.

Si no especifica una clave de KMS administrada por el cliente, Amazon MWAA usará de forma predeterminada una clave de KMS propiedad de AWS para cifrar y descifrar los datos. Recomendamos utilizar una clave de KMS propiedad de AWS para administrar el cifrado de datos en Amazon MWAA.

nota

En Amazon MWAA, se paga el almacenamiento y el uso tanto de las claves de KMS propiedad de AWS como de las administradas por el cliente. Para obtener más información, consulte los precios de AWS KMS.

Artefactos de cifrado

Al crear su entorno de Amazon MWAA, deberá especificar los artefactos de cifrado que usará para el cifrado en reposo especificando una clave propiedad de AWS o una clave administrada por el cliente. Amazon MWAA se encargará de añadir la concesiones necesarias a la clave especificada.

Amazon S3: los datos de Amazon S3 se cifran a nivel de objeto mediante el cifrado del servidor (SSE). En Amazon S3, el cifrado y el descifrado se llevan a cabo en el bucket de Amazon S3 en el cual estén almacenados el código de sus DAG y los archivos auxiliares. Los objetos se cifran al cargarlos en Amazon S3 y se descifran al descargarlos de su entorno de Amazon MWAA. Si usa una clave de KMS administrada por el cliente, Amazon MWAA la usará para leer y descifrar los datos de su bucket de Amazon S3 de forma predeterminada.

Registros de CloudWatch: si usa una clave de KMS propiedad de AWS, los registros de Apache Airflow que se envíen a los registros de CloudWatch se cifrarán mediante el cifrado del servidor (SSE) con la clave de KMS propiedad de AWS de los registros de CloudWatch. Si usa una clave de KMS administrada por el cliente, deberá agregar una política de claves a su clave de KMS para permitir que los registros de CloudWatch puedan usarla.

Amazon SQS: Amazon MWAA creará una cola de Amazon SQS para su entorno. Amazon MWAA cifrará los datos que entren y salgan de la cola mediante el SSE con una clave de KMS propiedad de AWS o una clave de KMS administrada por el cliente que usted especifique. Deberá agregar los permisos de Amazon SQS a su rol de ejecución, independientemente de si usa una clave de KMS propiedad de AWS o una clave de KMS administrada por el cliente.

Aurora PostgreSQL: Amazon MWAA creará un clúster de PostgreSQL para su entorno. Aurora PostgreSQL cifrará el contenido mediante el SSE con una clave de KMS propiedad de AWS o una clave de KMS administrada por el cliente. Si usa una clave de KMS administrada por el cliente, Amazon RDS agregará, como mínimo, dos concesiones a la clave: una para el clúster y otra para la instancia de base de datos. Amazon RDS puede crear más concesiones si decide usar la clave de KMS administrada por el cliente en varios entornos. Para obtener más información, consulte la protección de datos en Amazon RDS.

Cifrado en tránsito

Se denomina “datos en tránsito” a los datos que pueden interceptarse mientras se desplazan por la red.

La seguridad de la capa de transporte (TLS) cifra los objetos de Amazon MWAA en tránsito entre los componentes de Apache Airflow de su entorno y otros servicios de AWS que se integran con Amazon MWAA, como Amazon S3. Para obtener más información sobre el cifrado Amazon S3, consulte cómo proteger los datos mediante cifrado.