Cifrado en reposo - Servicio administrado por Amazon para Prometheus
ConcesionesPaso 1: Crear una clave administrada por el clientePaso 2: Especificar una clave administrada por el clientePaso 3: acceder a datos de otros serviciosContexto de cifradoSupervisión de sus claves de cifradoMás información

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado en reposo

De forma predeterminada, Amazon Managed Service for Prometheus te proporciona automáticamente el cifrado en reposo y lo hace con las claves de AWS cifrado propias.

  • AWS claves propias: Amazon Managed Service for Prometheus utiliza estas claves para cifrar automáticamente los datos subidos a tu espacio de trabajo. No puedes ver, gestionar ni usar las claves AWS propias, ni auditar su uso. Sin embargo, no tiene que realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran sus datos. Para obtener más información, consulte las claves propiedad de AWS en la Guía para desarrolladores de AWS Key Management Service .

El cifrado de datos en reposo ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales de los clientes, como la información de identificación personal. Le permite crear aplicaciones seguras que cumplen con los estrictos requisitos normativos y de conformidad del cifrado.

Cuando cree su espacio de trabajo, también puede optar por utilizar una clave administrada por el cliente:

  • Claves administradas por el cliente: Amazon Managed Service para Prometheus admite el uso de una clave simétrica administrada por el cliente que usted crea, posee y gestiona para cifrar los datos de su espacio de trabajo. Como usted tiene el control total de este cifrado, puede realizar tareas como las siguientes:

    • Establecer y mantener políticas de claves

    • Establecer y mantener concesiones y políticas de IAM

    • Habilitar y deshabilitar políticas de claves

    • Rotar el material criptográfico

    • Agregar etiquetas.

    • Crear alias de clave

    • Programar la eliminación de claves

    Para obtener más información, consulte las claves administradas por el cliente en la  Guía para desarrolladores de AWS Key Management Service .

Elige si deseas utilizar con cuidado las claves gestionadas por el cliente o las AWS propias. Los espacios de trabajo creados con claves administradas por el cliente no se pueden convertir para usar claves AWS propias más adelante (y viceversa).

nota

Amazon Managed Service for Prometheus habilita automáticamente el cifrado en reposo AWS mediante claves propias para proteger tus datos sin coste alguno.

Sin embargo, el uso de una clave gestionada por el cliente conlleva un AWS KMS suplemento. Para obtener más información acerca de los precios, consulte Precios de AWS Key Management Service.

Para obtener más información AWS KMS, consulte ¿Qué es AWS Key Management Service?

nota

Los espacios de trabajo creados con claves administradas por el cliente no pueden utilizar recopiladores administrados por AWS para la ingesta.

Cómo utiliza Amazon Managed Service for Prometheus las subvenciones en AWS KMS

Amazon Managed Service para Prometheus necesita tres concesiones para utilizar la clave administrada por el cliente.

Al crear un espacio de trabajo de Amazon Managed Service for Prometheus cifrado con una clave gestionada por el cliente, Amazon Managed Service for Prometheus crea las tres subvenciones en tu nombre y envía las solicitudes a. CreateGrant AWS KMS Las concesiones se AWS KMS utilizan para permitir que Amazon Managed Service for Prometheus acceda a la clave de KMS de su cuenta, incluso cuando no se haya llamado directamente en su nombre (por ejemplo, al almacenar datos de métricas extraídos de un clúster de Amazon EKS).

Amazon Managed Service para Prometheus necesita las concesiones para utilizar la clave administrada por el cliente para las siguientes operaciones internas:

  • Envíe DescribeKeysolicitudes AWS KMS a para comprobar que la clave KMS simétrica administrada por el cliente que se proporcionó al crear un espacio de trabajo es válida.

  • Envía GenerateDataKeysolicitudes AWS KMS para generar claves de datos cifradas con tu clave gestionada por el cliente.

  • Envíe solicitudes de descifrado AWS KMS a para descifrar las claves de datos cifrados para que puedan usarse para cifrar sus datos.

Amazon Managed Service for Prometheus crea tres concesiones para AWS KMS la clave que permiten a Amazon Managed Service for Prometheus utilizar la clave en tu nombre. Puede eliminar el acceso a la clave cambiando la política de claves, deshabilitando la clave o revocando la concesión. Debe comprender las consecuencias de estas acciones antes de llevarlas a cabo. Esto puede provocar la pérdida de datos en su espacio de trabajo.

Si elimina el acceso a alguna de las concesiones de alguna forma, Amazon Managed Service para Prometheus no podrá acceder a ninguno de los datos cifrados por la clave administrada por el cliente ni almacenar los nuevos datos que se envíen al espacio de trabajo, lo que afectará a las operaciones que dependen de esos datos. No se podrá acceder a los nuevos datos que se envíen al espacio de trabajo y es posible que se pierdan definitivamente.

aviso

  • Si deshabilita la clave o elimina el acceso a Amazon Managed Service para Prometheus en la política de claves, ya no podrá acceder a los datos del espacio de trabajo. No se podrá acceder a los nuevos datos que se estén enviando al espacio de trabajo y es posible que se pierdan de forma permanente.

    Puede acceder a los datos del espacio de trabajo y volver a recibir nuevos datos restableciendo el acceso de Amazon Managed Service para Prometheus a la clave.

  • Si revoca una concesión, no se podrá volver a crear y los datos del espacio de trabajo se perderán de forma permanente.

Paso 1: Crear una clave administrada por el cliente

Puede crear una clave simétrica gestionada por el cliente utilizando el, o el. AWS Management Console AWS KMS APIs No es necesario que la clave esté en la misma cuenta que el espacio de trabajo de Amazon Managed Service para Prometheus, siempre y cuando proporcione el acceso correcto a través de la política, tal como se describe a continuación.

Para crear una clave simétrica administrada por el cliente

Siga los pasos para crear una clave simétrica gestionada por el cliente que se indican en la Guía para desarrolladores de AWS Key Management Service .

Política de claves

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administración del acceso a las claves en la Guía para desarrolladores de AWS Key Management Service .

Para utilizar su clave administrada por el cliente con sus espacios de trabajo de Amazon Managed Service para Prometheus, en la política de claves deben permitirse las siguientes operaciones de API:

  • kms:CreateGrant: añade una concesión a una clave administrada por el cliente. Otorga el acceso de control a una clave de KMS específica, que permite acceder a las operaciones de concesión que requiere Amazon Managed Service para Prometheus. Para obtener más información, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service .

    Esto permite a Amazon Managed Service para Prometheus hacer lo siguiente:

    • Llamar a GenerateDataKey para generar una clave de datos cifrada y almacenarla, ya que la clave de datos no se utiliza inmediatamente para cifrar.

    • Llamar a Decrypt para usar la clave de datos cifrados almacenada para acceder a los datos cifrados.

  • kms:DescribeKey: proporciona los detalles de la clave administrada por el cliente para permitir que Amazon Managed Service para Prometheus valide la clave.

A continuación se muestran ejemplos de declaraciones de política que puede agregar para Amazon Managed Service para Prometheus:

  "Statement" : [ 
    {
      "Sid" : "Allow access to Amazon Managed Service for Prometheus principal within your account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "aps.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators - not required for Amazon Managed Service for Prometheus",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    <other statements needed for other non-Amazon Managed Service for Prometheus scenarios>
  ]

Paso 2: especificar una clave administrada por el cliente para Amazon Managed Service para Prometheus

Al crear un espacio de trabajo, puede especificar la clave administrada por el cliente introduciendo un ARN de clave de KMS, que Amazon Managed Service para Prometheus utiliza para cifrar los datos almacenados en el espacio de trabajo.

Paso 3: acceder a los datos de otros servicios, como Amazon Managed Grafana

Este paso es opcional y solo es obligatorio si necesita acceder a los datos de Amazon Managed Service para Prometheus desde otro servicio.

No se puede acceder a sus datos cifrados desde otros servicios, a menos que ellos también tengan acceso para usar la AWS KMS clave. Por ejemplo, si desea usar Amazon Managed Grafana para crear un panel o una alerta de los datos, debe permitir que Amazon Managed Grafana acceda a la clave.

Concesión de acceso a Amazon Managed Grafana a la clave administrada por el cliente

  1. En la lista de espacios de trabajo de Amazon Managed Grafana, seleccione el nombre del espacio de trabajo al que desea que acceda Amazon Managed Service para Prometheus. Aquí encontrará información resumida sobre el espacio de trabajo de Amazon Managed Grafana.

  2. Anote el nombre del rol de IAM que utiliza el espacio de trabajo. El nombre tiene el formato AmazonGrafanaServiceRole-<unique-id>. La consola muestra el ARN completo del rol. Este nombre los especificará en la consola de AWS KMS en un paso posterior.

  3. En la lista de claves administradas por el cliente de AWS KMS, seleccione la clave administrada por el cliente que utilizó al crear el espacio de trabajo de Amazon Managed Service para Prometheus. Se abre la página de detalles de configuración de la clave.

  4. Junto a Usuarios de claves, seleccione el botón Agregar.

  5. De la lista de nombres, elija el rol de IAM de Amazon Managed Grafana que ha mencionado anteriormente. Para que sea más fácil de encontrar, también puede buscar por nombre.

  6. Seleccione Agregar para agregar el rol de IAM a la lista de usuarios de claves.

El espacio de trabajo de Amazon Managed Grafana ya puede acceder a los datos del espacio de trabajo de Amazon Managed Service para Prometheus. Puede agregar otros usuarios o roles a los usuarios de claves para permitir que otros servicios accedan al espacio de trabajo.

Contexto de cifrado de Amazon Managed Service para Prometheus

Un contexto de cifrado es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos.

AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales para respaldar el cifrado autenticado. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud.

Contexto de cifrado de Amazon Managed Service para Prometheus

Amazon Managed Service for Prometheus utiliza el mismo contexto de cifrado en AWS KMS todas las operaciones criptográficas, donde la clave aws:amp:arn es y el valor es el nombre del recurso de Amazon (ARN) del espacio de trabajo.

"encryptionContext": {
    "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
}

Uso del contexto de cifrado para la supervisión

Si utiliza una clave simétrica administrada por el cliente para cifrar los datos de su espacio de trabajo, también puede utilizar el contexto de cifrado en los registros y registros de auditoría para identificar cómo se está utilizando la clave administrada por el cliente. El contexto de cifrado también aparece en los registros generados por AWS CloudTrail Amazon CloudWatch Logs.

Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente

Puede utilizar el contexto de cifrado en las políticas de claves y las políticas de IAM como conditions para controlar el acceso a la clave simétrica administrada por el cliente. Puede usar también una restricción de contexto de cifrado en una concesión.

Amazon Managed Service para Prometheus utiliza el contexto de cifrado para restringir las concesiones que permiten el acceso a la clave administrada por el cliente o a en su cuenta y región. La restricción de concesión requiere que las operaciones que permite la concesión utilicen el contexto de cifrado especificado.

A continuación se muestran ejemplos de declaraciones de política de claves para dar acceso a una clave administrada por el cliente para un contexto de cifrado específico. La condición de esta declaración de política exige que las concesiones tengan una restricción de contexto de cifrado que especifique el contexto de cifrado.

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},
{
     "Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
         "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
          }
     }
}

Supervisión de las claves de cifrado para Amazon Managed Service para Prometheus

Si utilizas una clave gestionada por el AWS KMS cliente en tus espacios de trabajo de Amazon Managed Service for Prometheus, puedes utilizar AWS CloudTrailAmazon Logs para realizar un seguimiento de las solicitudes que CloudWatch Amazon Managed Service for Prometheus envía. AWS KMS

Los siguientes ejemplos son AWS CloudTrail eventos para CreateGrant GenerateDataKeyDecrypt, y DescribeKey para monitorear las operaciones de KMS solicitadas por Amazon Managed Service para que Prometheus acceda a los datos cifrados por su clave administrada por el cliente:

CreateGrant

Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tu espacio de trabajo, Amazon Managed Service for Prometheus envía CreateGrant tres solicitudes en tu nombre para acceder a la clave de KMS que has especificado. Las concesiones que Amazon Managed Service para Prometheus crea es específica para el recurso asociado a la clave administrada por el cliente de AWS KMS .

El siguiente evento de ejemplo registra una operación CreateGrant:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "TESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE-KEY-ID1",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "TESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "aps.region.amazonaws.com",
        "operations": [
            "GenerateDataKey",
            "Decrypt",
            "DescribeKey"
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "granteePrincipal": "aps.region.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}
GenerateDataKey

Cuando habilitas una clave gestionada por el AWS KMS cliente para tu espacio de trabajo, Amazon Managed Service for Prometheus crea una clave única. Envía una GenerateDataKey solicitud a la AWS KMS que se especifica la clave gestionada por el AWS KMS cliente para el recurso.

El siguiente evento de ejemplo registra la operación GenerateDataKey:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
Decrypt

Cuando se genera una consulta en un espacio de trabajo cifrado, Amazon Managed Service para Prometheus llama a la operación Decrypt para que utilice la clave de datos cifrados almacenada para acceder a los datos cifrados.

El siguiente evento de ejemplo registra la operación Decrypt:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:10:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
DescribeKey

Amazon Managed Service para Prometheus utiliza la operación DescribeKey para comprobar si la clave administrada por el cliente de AWS KMS que se asocia a su espacio de trabajo existe en la cuenta y la región.

El siguiente evento de ejemplo registra la operación DescribeKey:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "TESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE-KEY-ID1",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "TESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

Más información

Los siguientes recursos proporcionan más información sobre cifrado de datos en reposo.