Protección de datos en AWS Proton - AWS Proton
Cifrado del lado del servidor en reposoCifrado en tránsitoAWS Proton administración de claves de cifradoAWS Proton contexto de cifrado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en AWS Proton

AWS Proton se ajusta al modelo de responsabilidad AWS compartida, modelo de , que incluye reglamentos y directrices para la protección de datos. AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Servicios de AWS. AWS mantiene el control sobre los datos alojados en esta infraestructura, incluidos los controles de configuración de seguridad para gestionar el contenido de los clientes y los datos personales. AWS los clientes y los socios de APN, que actúan como controladores o procesadores de datos, son responsables de cualquier dato personal que introduzcan en el Nube de AWS

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo que cada usuario reciba únicamente los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utiliza la autenticación multifactor (MFA) en cada cuenta.

  • Utilice SSL/TLS para comunicarse con los recursos. AWS Recomendamos TLS 1.2 o una versión posterior.

  • Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, números de cuenta de sus clientes, en los campos de texto de formato libre, como el campo Nombre. Esto incluye cuando trabaja con AWS Proton o Servicios de AWS utiliza la consola, la API o AWS SDKs. AWS CLI Es posible que cualquier dato que introduzca en los campos de texto de formato libre para los identificadores de recursos o elementos similares relacionados con la administración de los recursos de AWS se incluya en los registros de diagnóstico. Cuando proporcione una URL a un servidor externo, no incluya información de credenciales en la URL para validar la solicitud para ese servidor.

Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelo de responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS .

Cifrado del lado del servidor en reposo

Si opta por cifrar los datos confidenciales de sus paquetes de plantillas almacenados en el depósito de S3 donde almacena los paquetes de plantillas, debe utilizar una clave SSE-S3 o SSE-KMS para poder recuperar los paquetes de plantillas y poder adjuntarlos AWS Proton a una plantilla registrada. AWS Proton

Cifrado en tránsito

Toda la comunicación de un servicio a otro se cifra en tránsito mediante SSL/TLS.

AWS Proton administración de claves de cifrado

En su interior AWS Proton, todos los datos de los clientes se cifran de forma predeterminada mediante AWS Proton una clave propia. Si proporciona una AWS KMS clave gestionada y propiedad del cliente, todos los datos del cliente se cifran con la clave proporcionada por el cliente, tal y como se describe en los párrafos siguientes.

Al crear una AWS Proton plantilla, se especifica la clave y se AWS Proton utilizan las credenciales para crear una autorización que AWS Proton permite utilizar la clave.

Si retira la concesión manualmente o deshabilita o elimina la clave especificada, AWS Proton no podrá leer los datos cifrados por la clave especificada y arrojará ValidationException.

AWS Proton contexto de cifrado

AWS Proton admite encabezados de contexto de cifrado. Un contexto de cifrado es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos. Para obtener información general sobre el contexto de cifrado, consulte Conceptos de AWS Key Management Service : contexto de cifrado en la Guía para desarrolladores de AWS Key Management Service .

Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Al incluir un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

Los clientes pueden utilizar el contexto de cifrado para identificar el uso de las claves administradas por el cliente en los registros de auditoría y en los registros. También aparece en texto plano en los registros, como AWS CloudTrail Amazon CloudWatch Logs.

AWS Proton no incluye ningún contexto de cifrado especificado por el cliente o externamente.

AWS Proton añade el siguiente contexto de cifrado.

{
  "aws:proton:template": "<proton-template-arn>",
  "aws:proton:resource": "<proton-resource-arn>" 
}

El primer contexto de cifrado identifica la AWS Proton plantilla a la que está asociado el recurso y también sirve como restricción para los permisos y la concesión de claves gestionados por el cliente.

El segundo contexto de cifrado identifica el AWS Proton recurso que está cifrado.

Los siguientes ejemplos muestran el uso del contexto de AWS Proton cifrado.

Un desarrollador que crea una instancia de servicio.

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service/my-service/service-instance/my-service-instance" 
}

Un administrador que crea una plantilla.

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service-template/my-template"
}