Cifrado de datos Cifrado en reposo Cifrado en tránsito Manejo de mensajes SMS de mensajería para usuarios finales Administración de claves Privacidad del tráfico entre redes Creación de un punto final de VPC de interfaz para la mensajería SMS AWS del usuario final

Protección de datos en la mensajería SMS para usuarios AWS finales

El modelo de se aplica a protección de datos en la mensajería SMS para usuarios AWS finales. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS .

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

Utiliza la autenticación multifactor (MFA) en cada cuenta.
Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Cómo trabajar con CloudTrail senderos en la Guía del AWS CloudTrail usuario.
Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con la mensajería de usuario AWS final (SMS) u otro tipo de mensajes Servicios de AWS mediante la consola, la API o AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

Cifrado de datos

AWS Los datos de los mensajes SMS de los usuarios finales se cifran en tránsito y en reposo dentro del AWS límite. Cuando envías datos a un SMS de mensajería para el usuario AWS final, este cifra los datos a medida que los recibe y los almacena. Cuando recuperas datos de un SMS de mensajería para el usuario AWS final, te los transmite mediante los protocolos de seguridad actuales. Cuando utiliza la mensajería SMS para el usuario AWS final para enviar un mensaje SMS a un dispositivo móvil externo, sus datos se transfieren fuera del AWS límite mediante el protocolo SMS y están sujetos a las limitaciones técnicas de los SMS.

Cifrado en reposo

AWS La mensajería SMS para el usuario final cifra todos los datos que almacena para usted dentro del AWS límite. Esto incluye los datos de configuración, los datos de registro y cualquier dato que añada al SMS de mensajería para el usuario AWS final. Para cifrar sus datos, AWS End User Messaging SMS utiliza claves internas AWS Key Management Service (AWS KMS) que el servicio posee y mantiene en su nombre. Rotamos estas claves periódicamente. Para obtener más información acerca de AWS KMS, consulte la Guía para desarrolladores de AWS Key Management Service.

Cifrado en tránsito

AWS La mensajería SMS para el usuario final utiliza HTTPS y Transport Layer Security (TLS) 1.2 para comunicarse con sus clientes y aplicaciones. Para comunicarse con otros AWS servicios, los SMS de mensajería para el usuario AWS final utilizan HTTPS y TLS 1.2. Además, al crear y administrar los recursos de SMS de mensajería para el usuario AWS final mediante la consola, un AWS SDK o el AWS Command Line Interface, todas las comunicaciones se protegen mediante HTTPS y TLS 1.2.

Cuando utiliza la mensajería SMS para el usuario AWS final para enviar un mensaje SMS a un dispositivo móvil externo, sus datos se transfieren fuera del AWS límite a través del protocolo SMS. El protocolo SMS tiene varias limitaciones inherentes, como la falta de end-to-end cifrado, que pueden ser relevantes para su caso de uso. Para obtener más información sobre las limitaciones de SMS y las prácticas recomendadas de seguridad, consulte Aspectos de seguridad de protocolo de SMS y Prácticas recomendadas de seguridad de protocolo de SMS.

Manejo de mensajes SMS de mensajería para usuarios finales

AWS End User Messaging SMS procesa y almacena los mensajes SMS en la AWS región seleccionada por el cliente. Sin embargo, las etapas finales de la entrega de mensajes SMS se realizan en redes móviles internacionales que escapan a AWS todo control. Como es habitual en la entrega de mensajes SMS, los proveedores de servicios SMS que los AWS utilizan pueden utilizar ellos mismos proveedores de servicios intermedios para enrutar los mensajes SMS a nivel mundial. Estos proveedores de servicios descendentes pueden enrutar los mensajes SMS a través de puntos finales o redes en diferentes regiones de la AWS región seleccionada por el cliente, incluso si el usuario final destinatario de un mensaje SMS se encuentra en la misma región.

Administración de claves

Para cifrar los datos de los mensajes SMS del usuario AWS AWS final, los mensajes SMS para el usuario final utilizan AWS KMS claves internas que el servicio posee y mantiene en tu nombre. Rotamos estas claves periódicamente. No puede aprovisionar ni usar claves propias AWS KMS ni de otro tipo para cifrar los datos que almacene en los SMS de mensajería para el usuario AWS final.

Privacidad del tráfico entre redes

La privacidad del tráfico entre redes se refiere a proteger las conexiones y el tráfico entre los SMS de mensajería de usuario AWS final y sus clientes y aplicaciones locales, y entre los SMS de mensajería de usuario AWS final y otros AWS recursos de la misma. Región de AWS Las siguientes funciones y prácticas pueden ayudarle a proteger la privacidad del tráfico entre redes para los mensajes SMS de los usuarios AWS finales.

Tráfico entre los mensajes SMS de los usuarios AWS finales y los clientes y aplicaciones locales

Para establecer una conexión privada entre los SMS de mensajería para el usuario AWS final y los clientes y aplicaciones de su red local, puede utilizar. Direct Connect Esto le permite vincular su red a una ubicación de AWS Direct Connect mediante un cable de Ethernet de fibra óptica estándar. Un extremo del cable se conecta al enrutador. El otro extremo está conectado a un Direct Connect router. Para obtener más información, consulte ¿Qué es Direct Connect? en la Guía del usuario de Direct Connect .

Para ayudar a proteger el acceso a los mensajes SMS de usuario AWS final a través de la publicación APIs, le recomendamos que cumpla con los requisitos de mensajería SMS para el usuario AWS final en relación con las llamadas a la API. AWS La mensajería SMS para el usuario final requiere que los clientes utilicen Transport Layer Security (TLS) 1.2 o una versión posterior. Los clientes también deben admitir conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben firmarse con un identificador de clave de acceso y una clave de acceso secreta que estén asociadas al principal AWS Identity and Access Management (IAM) de su AWS cuenta. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Tráfico entre los mensajes de texto de los usuarios AWS finales y otros recursos AWS

Para proteger las comunicaciones entre los SMS de usuario AWS final y otros AWS recursos de la misma AWS región, los SMS de mensajería para el usuario AWS final utilizan HTTPS y TLS 1.2 de forma predeterminada.

Información sobre el tráfico de SMS fuera del límite de AWS

En AWS, nos tomamos muy en serio la protección de datos. Empleamos una variedad de medidas de seguridad para proteger los datos que almacena y procesa en nuestro entorno de nube. Sin embargo, es importante entender que el nivel de protección puede variar cuando los datos salen del límite de AWS y se procesan o transmiten por parte de terceros.

El protocolo de SMS no admite cifrado. Para enviar un mensaje SMS AWS es necesario transmitir el mensaje SMS fuera del AWS límite y el mensaje SMS no se end-to-end cifrará.

Creación de un punto final de VPC de interfaz para la mensajería SMS AWS del usuario final

Puede establecer una conexión privada entre su nube privada virtual (VPC) y un punto AWS final en End User Messaging SMS creando un punto final de interfaz de VPC.

Los puntos finales de la interfaz funcionan con una tecnología que le permite acceder de forma privada a la mensajería SMS para el usuario AWS final APIs sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o. AWS PrivateLink Direct Connect Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con los SMS de mensajería para el usuario AWS final con los APIs que se integran. AWS PrivateLink

Para obtener más información, consulte la Guía de AWS PrivateLink.

Creación de puntos de conexión de VPC de una interfaz

Puede crear un punto de conexión de interfaz mediante la consola de Amazon VPC o la AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Crear un punto final de interfaz en la AWS PrivateLink Guía.

AWS Los SMS de mensajería para el usuario final admiten los siguientes nombres de servicio:

com.amazonaws.region.sms-voice

Si activa el DNS privado para un punto final de la interfaz, puede realizar solicitudes de API para enviar mensajes SMS AWS al usuario final utilizando el nombre de DNS predeterminado para Región de AWS, por ejemplo,com.amazonaws.us-east-1.sms-voice. Para obtener más información, consulte Nombres de host de DNS en la Guía de AWS PrivateLink .

Creación de una política de punto de conexión de VPC

Puede asociar una política de punto de conexión con el punto de conexión de VPC que controla el acceso. La política especifica la siguiente información:

La entidad principal que puede realizar acciones.
Las acciones que se pueden realizar.
Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte Control del acceso a los servicios con políticas de punto de conexión en la Guía del usuario de AWS PrivateLink .

Ejemplo: Política de punto de conexión de VPC

La siguiente política de puntos finales de VPC otorga acceso a las acciones de mensajería SMS de usuario AWS final enumeradas a todos los principales de todos los recursos.


{
"Statement": [
    {
      "Principal": "*",
      "Action": [
        "sms-voice:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Seguridad

Identity and Access Management