# SEC 8 ¿Cómo protege los datos en reposo?
Para proteger los datos en reposo debe implementar varios controles para reducir el riesgo de acceso no autorizado o mala gestión.
**Topics**
+ [SEC08-BP01 Implementar una administración de claves segura](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Aplicar el cifrado en reposo](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatizar la protección de los datos en reposo](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04: Aplicación del control de acceso](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05: Uso de mecanismos para mantener a las personas alejadas de los datos](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 Implementar una administración de claves segura
Mediante la definición de un enfoque de cifrado que incluya el almacenamiento, la rotación y el control de acceso a las claves, puede ayudar a facilitar protección para su contenido ante el acceso de usuarios no autorizados y ante la exposición innecesaria a los usuarios autorizados. AWS Key Management Service (AWS KMS) le ayuda a administrar las claves de cifrado y se [integra con muchos servicios de AWS](https://aws.amazon.com/kms/details/#integration). Este servicio proporciona almacenamiento duradero, seguro y redundante para sus claves de AWS KMS. Puede definir los alias de clave y las políticas a nivel de clave. Las políticas le ayudan a definir los administradores y los usuarios de las claves. Además, AWS CloudHSM es un módulo de seguridad de hardware (HSM, por sus siglas en inglés) basado en la nube que le permite generar y usar fácilmente sus propias claves de cifrado en la Nube de AWS. Le ayuda a satisfacer los requisitos de conformidad corporativos, contractuales y normativos para la seguridad de los datos con HSM validados de nivel 3 FIPS 140-2.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Implemente AWS KMS: AWS KMS facilita la creación y administración de claves y el control del uso del cifrado en una amplia gama de servicios de AWS y en sus aplicaciones. AWS KMS es un servicio seguro y resiliente que usa módulos de seguridad de hardware validados por FIPS 140-2 para proteger sus claves.
+ [Introducción: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ Plantéese el uso de SDK de cifrado de AWS: utilice el AWS SDK de cifrado con la integración de AWS KMS cuando la aplicación necesite cifrar datos en el lado del cliente.
+ [SDK de cifrado de AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## Recursos
**Documentos relacionados:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [Herramientas y servicios criptográficos de AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Introducción: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [Protección de datos de Amazon S3 mediante cifrado](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Videos relacionados:**
+ [Cómo funciona el cifrado en AWS](https://youtu.be/plv7PQZICCM)
+ [Protección del almacenamiento en bloque de AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 Aplicar el cifrado en reposo
Debe obligar a usar el cifrado de los datos en reposo. El cifrado mantiene la confidencialidad de los datos confidenciales en caso de que se produzca un acceso no autorizado o se divulguen de manera accidental.
**Resultado deseado:** los datos privados deben cifrarse de forma predeterminada cuando estén en reposo. El cifrado ayuda a mantener la confidencialidad de los datos y proporciona una capa adicional de protección contra la divulgación o exfiltración de datos intencionada o inadvertida. No es posible leer los datos cifrados ni acceder a ellos sin antes descifrarlos. Hay que hacer un inventario y controlar todos los datos almacenados sin cifrar.
**Antipatrones usuales:**
+ No utilizar configuraciones para que el cifrado se realice de forma predeterminada.
+ Proporcionar un acceso demasiado permisivo a las claves de descifrado.
+ No supervisar el uso de las claves de cifrado y descifrado.
+ Almacenar datos sin cifrar.
+ Utilizar la misma clave de cifrado para todos los datos, independientemente de su uso, tipos y clasificación.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto
## Guía para la implementación
Asigne claves de cifrado a clasificaciones de datos en sus cargas de trabajo. Este enfoque ayuda a proteger contra un acceso excesivamente permisivo si utiliza una única clave de cifrado, o muy pocas, para sus datos (consulte [SEC07-BP01 Identificar los datos en su carga de trabajo](sec_data_classification_identify_data.md)).
AWS Key Management Service (AWS KMS) se integra con muchos servicios de AWS para facilitar el cifrado de sus datos en reposo. Por ejemplo, en Amazon Simple Storage Service (Amazon S3) puede establecer el [cifrado predeterminado](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) en un bucket para que todos los objetos nuevos se cifren automáticamente. Cuando utilice AWS KMS, tenga en cuenta hasta qué punto es necesario restringir los datos. AWS administra y utiliza en su nombre las claves de AWS KMS predeterminadas y controladas por el servicio. En el caso de los datos confidenciales que requieren un acceso detallado a la clave de cifrado subyacente, considere la posibilidad de usar claves administradas por el cliente (CMK). Usted tiene el control total sobre las CMK, incluida la rotación y la administración del acceso mediante el uso de políticas de claves.
Además, [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) y [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) admiten la aplicación del cifrado mediante la configuración del cifrado predeterminado. Puede utilizar [Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para comprobar automáticamente que está utilizando cifrado, por ejemplo, para volúmenes de [Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instancias de Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) y [buckets de Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
AWS también proporciona opciones para el cifrado del cliente, lo que le permite cifrar los datos antes de subirlos a la nube. AWS Encryption SDK proporciona una forma de cifrar sus datos mediante el [cifrado de sobre](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping). Usted proporciona la clave de encapsulado y AWS Encryption SDK genera una clave de datos única para cada objeto de datos que cifra. Considere la posibilidad de utilizar AWS CloudHSM si necesita un módulo de seguridad de hardware (HSM) administrado de un solo inquilino. AWS CloudHSM le permite generar, importar y administrar claves criptográficas en un HSM validado por FIPS 140-2 nivel 3. Entre los casos de uso de AWS CloudHSM, se incluye la protección de claves privadas para la emisión de una autoridad de certificación (CA) y la habilitación del cifrado de datos transparente (TDE) para bases de datos Oracle. El SDK de cliente de AWS CloudHSM proporciona software que le permite cifrar datos del cliente utilizando claves almacenadas dentro de AWS CloudHSM antes de subir sus datos a AWS. El Amazon DynamoDB Encryption Client también le permite cifrar y firmar elementos antes de subirlos a una tabla de DynamoDB.
**Pasos para la implementación**
+ **Aplique el cifrado en reposo para Amazon S3:** implemente el [cifrado predeterminado de buckets de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html).
**Configure el [cifrado predeterminado para los nuevos volúmenes de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html):** especifique que desea que todos los volúmenes de Amazon EBS recién creados se creen de forma cifrada, con la opción de utilizar la clave predeterminada que proporciona AWS o una clave que usted cree.
**Configure imágenes de máquina de Amazon (AMI) cifradas:** al copiar una AMI existente con cifrado habilitado, se cifran automáticamente las instantáneas y los volúmenes raíz.
**Configure el [cifrado de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html):** configure el cifrado para sus clústeres de base de datos e instantáneas en reposo de Amazon RDS mediante la opción de cifrado.
**Cree y configure claves de AWS KMS con políticas que limiten el acceso a las entidades principales adecuadas para cada clasificación de datos:** por ejemplo, cree una clave de AWS KMS para cifrar los datos de producción y otra distinta para cifrar los datos de desarrollo o de prueba. También puede proporcionar acceso a la clave a otras Cuentas de AWS. Considere la posibilidad de tener cuentas diferentes para sus entornos de desarrollo y de producción. Si en su entorno de producción es necesario descifrar artefactos en la cuenta de desarrollo, puede editar la política de CMK que se utiliza para cifrar los artefactos de desarrollo para otorgar a la cuenta de producción la capacidad de descifrar dichos artefactos. Después, el entorno de producción puede ingerir los datos descifrados para usarlos en producción.
**Configure el cifrado en servicios de AWS adicionales:** para otros servicios de AWS que utilice, revise la [documentación de seguridad](https://docs.aws.amazon.com/security/) de ese servicio para determinar las opciones de cifrado del servicio.
## Recursos
**Documentos relacionados:**
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Documentación de AWS](https://docs.aws.amazon.com/)
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [Documento técnico Introducción a los detalles criptográficos de AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS cryptographic services and tools](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) (Herramientas y servicios criptográficos de AWS)
+ [Cifrado de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Cifrado predeterminado para volúmenes de Amazon EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Cifrado de recursos de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Habilitación del cifrado predeterminado de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Protección de datos de Amazon S3 mediante cifrado](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Vídeos relacionados: **
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) (Cómo funciona el cifrado en AWS)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) (Protección del almacenamiento en bloque de AWS)
# SEC08-BP03 Automatizar la protección de los datos en reposo
Utilice herramientas automatizadas para validar y aplicar continuamente los controles de datos en reposo; por ejemplo, verifique que solo hay recursos de almacenamiento cifrados. Puede [automatizar la validación de que todos los volúmenes de EBS están cifrados](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) con [Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) también puede verificar varios controles mediante comprobaciones automatizadas con respecto a los estándares de seguridad. Además, su Reglas de AWS Config puede [corregir recursos no conformes automáticamente](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
*Datos en reposo* representan los datos que se conservan en un almacenamiento no volátil durante cualquier periodo de tiempo en una carga de trabajo. Esto incluye el almacenamiento en bloque, el almacenamiento de objetos, las bases de datos, los archivos, los dispositivos IoT y todo tipo de forma de almacenamiento en la que se conserven los datos. La protección de los datos en reposo reduce el riesgo de acceso no autorizado si se implementan el cifrado y los controles de acceso adecuados.
Aplique el cifrado en reposo: debe asegurarse de que la única forma de almacenar los datos sea mediante el cifrado. AWS KMS se integra perfectamente con muchos servicios de AWS para facilitarle el cifrado de todos sus datos en reposo. Por ejemplo, en Amazon Simple Storage Service (Amazon S3), puede establecer el [cifrado predeterminado](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) en un bucket de modo que todos los objetos nuevos se cifran automáticamente. Además, [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) y [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) admiten la aplicación del cifrado mediante la configuración del cifrado predeterminado. Puede usar [las reglas de administradas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para comprobar automáticamente que está utilizando el cifrado, por ejemplo, para [volúmenes de EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instancias de Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)y [buckets de Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## Recursos
**Documentos relacionados:**
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [SDK de cifrado de AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**Vídeos relacionados:**
+ [How Encryption Works in AWS (Cómo funciona el cifrado en AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Protección del almacenamiento en bloque de AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04: Aplicación del control de acceso
Para ayudarle a proteger sus datos en reposo, aplique el control de acceso mediante mecanismos como el aislamiento y el control de versiones, y utilice el principio del privilegio mínimo. Impida que se conceda acceso público a sus datos.
**Resultado deseado:** verificar que solo los usuarios autorizados puedan acceder a los datos en función de su necesidad de utilizarlos. Proteja sus datos con copias de seguridad periódicas y el control de versiones para evitar que se modifiquen o eliminen de forma intencionada o involuntaria. Aísle los datos críticos de otros datos para proteger su confidencialidad e integridad.
**Antipatrones usuales:**
+ Almacenar juntos datos con diferentes requisitos de confidencialidad o clasificación.
+ Utilizar permisos demasiado permisivos en las claves de descifrado.
+ Clasificar incorrectamente los datos.
+ No conservar copias de seguridad detalladas de los datos importantes.
+ Proporcionar acceso persistente a los datos de producción.
+ No auditar el acceso a los datos ni revisar periódicamente los permisos.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** bajo
## Guía para la implementación
Hay muchos controles que pueden ayudar a proteger sus datos en reposo, como el control de acceso (con el privilegio mínimo), el aislamiento y el control de versiones. El acceso a sus datos debe auditarse utilizando mecanismos de detección, como AWS CloudTrail, y registros de nivel de servicio, como los registros de acceso de Amazon Simple Storage Service (Amazon S3). Debe realizar un inventario de los datos a los que se puede acceder públicamente y crear un plan para reducir la cantidad de datos disponibles públicamente a lo largo del tiempo.
El bloqueo de almacenes de Amazon Glacier y el bloqueo de objetos de Amazon S3 proporcionan un control de acceso obligatorio para los objetos de Amazon S3: una vez bloqueada una política de almacenes con la opción de conformidad, ni siquiera el usuario raíz puede cambiarla hasta que venza el bloqueo.
### Pasos para la implementación
+ **Aplique el control de acceso**: aplique el control de acceso con privilegios mínimos, incluido el acceso a las claves de cifrado.
+ **Separe los datos en función de diferentes niveles de clasificación**: utilice diferentes Cuentas de AWS para los niveles de clasificación de los datos y administre dichas cuentas mediante [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
+ **Revise las políticas de AWS Key Management Service (AWS KMS)**: [revise el nivel de acceso](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) concedido en las políticas de AWS KMS.
+ **Revise los permisos de los objetos y buckets de Amazon S3**: revise periódicamente el nivel de acceso otorgado por las políticas de buckets de S3. La práctica recomendada es evitar el uso de buckets de lectura o escritura pública. Plantéese utilizar [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para detectar buckets que están disponibles al público y Amazon CloudFront para ofrecer contenido de Amazon S3. Verifique que los buckets que no deben permitir el acceso público estén configurados correctamente para impedirlo. De manera predeterminada, todos los buckets de S3 son privados y solo permiten el acceso a los usuarios que cuentan con una autorización explícita.
+ **Habilite [AWS IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html):** IAM Access Analyzer analiza los buckets de Amazon S3 y genera un hallazgo cuando una [política de S3 concede acceso a una entidad externa](https://docs.aws.amazon.com//latest/UserGuide/access-analyzer-resources.html#access-analyzer-s3).
+ **Habilite el [control de versiones de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) y el [bloqueo de objetos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)** cuando corresponda.
+ **Utilice el [inventario de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)**: el inventario de Amazon S3 puede utilizarse para auditar e informar sobre el estado de replicación y cifrado de sus objetos de S3.
+ **Revise los permisos de uso compartido de [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) y [https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)**: los permisos de uso compartido pueden permitir que las imágenes y los volúmenes se compartan con Cuentas de AWS externas a su carga de trabajo.
+ **Revise periódicamente los [recursos compartidos de AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) para determinar si los recursos deben seguir compartiéndose.** Resource Access Manager le permite compartir recursos, como las políticas de AWS Network Firewall, las reglas de resolución de Amazon Route 53 y las subredes, dentro de sus Amazon VPC. Audite periódicamente los recursos compartidos y deje de compartir los recursos que ya no sea necesario.
## Recursos
**Prácticas recomendadas relacionadas:**
+ [SEC03-BP01 Definir los requisitos de acceso](sec_permissions_define.md)
+ [SEC03-BP02 Conceder acceso con privilegios mínimos](sec_permissions_least_privileges.md)
**Documentos relacionados:**
+ [Documento técnico Introducción a los detalles criptográficos de AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [Introducción a la administración de permisos de acceso a los recursos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ [Información general sobre la administración de acceso a sus recursos de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ [Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: A Match Made in the Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) (Amazon S3 \$1 Amazon CloudFront: una combinación perfecta en la nube)
+ [Uso del control de versiones](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Usar Bloqueo de objetos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ [Compartir una instantánea de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [AMI compartidas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
+ [Hosting a single-page application on Amazon S3](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html) (Alojar una aplicación de una sola página en Amazon S3)
**Vídeos relacionados: **
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) (Protección del almacenamiento en bloque de AWS)
# SEC08-BP05: Uso de mecanismos para mantener a las personas alejadas de los datos
Impida a todos los usuarios acceder directamente a sistemas e información confidenciales en circunstancias de funcionamiento normales. Por ejemplo, utilice un flujo de trabajo de administración de cambios para administrar instancias de Amazon Elastic Compute Cloud (Amazon EC2) con herramientas en lugar de permitir el acceso directo o un host bastión. Esto se puede lograr mediante la [automatización de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), que usa [documentos de automatización](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) que incluyen los pasos que han de seguirse para realizar tareas. Estos documentos se pueden almacenar en el control de código fuente, otros compañeros pueden revisarlos antes de su publicación, y pueden probarse de forma exhaustiva para reducir al mínimo el riesgo en comparación con el acceso al shell. Los usuarios empresariales podrían tener un panel en lugar de acceso directo a un almacén de datos para ejecutar consultas. Allí donde no se utilicen canalizaciones de CI/CD, determine qué controles y procesos son necesarios para ofrecer correctamente un mecanismo de acceso instantáneo que suele estar deshabilitado.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Implemente mecanismos para mantener a las personas alejadas de los datos: entre estos mecanismos se incluyen el uso de paneles, como Quick, para mostrar datos a los usuarios en lugar de realizar consultas directas.
+ [Quick](https://aws.amazon.com/quicksight/)
+ Automatice la administración de la configuración: realice acciones a distancia, y aplique y valide configuraciones seguras de forma automática mediante el uso de un servicio o herramienta de administración de la configuración. Evite usar hosts bastión o acceder directamente a instancias de EC2.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Canalización de CI/CD para plantillas de AWS CloudFormation en AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## Recursos
**Documentos relacionados:**
+ [Documento técnico Detalles criptográficos de AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Vídeos relacionados:**
+ [Cómo funciona el cifrado en AWS](https://youtu.be/plv7PQZICCM)
+ [Protección del almacenamiento en bloque de AWS](https://youtu.be/Y1hE1Nkcxs8)