Perlindungan data dan enkripsi - AWS Transfer Family
Enkripsi data di Transfer FamilyEnkripsi pada saat tidak aktif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data dan enkripsi

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di AWS Transfer Family (Transfer Family). Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Konten ini mencakup konfigurasi keamanan dan tugas manajemen untuk AWS layanan yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, lihat FAQ privasi data. Untuk informasi tentang perlindungan data di Eropa, lihat model tanggung jawab AWS bersama dan posting blog GDPR di Blog AWS Keamanan.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi kredensyal AWS akun dan mengatur akun pengguna individu dengan. AWS IAM Identity Center Dengan cara ini, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugas mereka. Kami juga merekomendasikan agar Anda mengamankan data Anda dengan cara-cara berikut ini:

  • Gunakan autentikasi multi-faktor (MFA) pada setiap akun.

  • Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mendukung TLS 1.2.

  • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default dalam AWS layanan.

  • Gunakan layanan keamanan terkelola lanjutan seperti Amazon Macie, yang membantu menemukan dan mengamankan data pribadi yang disimpan di Amazon Simple Storage Service (Amazon S3).

  • Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 ketika mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk informasi selengkapnya tentang titik akhir FIPS yang tersedia, lihat Standar pemrosesan informasi federal (FIPS) 140-2.

Kami sangat merekomendasikan agar Anda tidak memasukkan informasi identifikasi sensitif apapun, seperti nomor rekening pelanggan Anda, ke dalam kolom isian teks bebas seperti kolom Nama. Ini termasuk saat Anda bekerja dengan Transfer Family atau AWS layanan lain menggunakan konsol, API AWS CLI, atau layanan AWS SDKs. Data konfigurasi apa pun yang Anda masukkan ke dalam konfigurasi layanan Transfer Family, atau konfigurasi layanan lain, dapat diambil untuk dimasukkan dalam log diagnostik. Saat Anda memberikan URL ke server eksternal, jangan sertakan informasi kredensial di URL untuk memvalidasi permintaan Anda ke server tersebut.

Sebaliknya, data dari operasi unggah dan pengunduhan masuk dan keluar dari server Transfer Family diperlakukan sebagai sepenuhnya pribadi dan tidak pernah ada di luar saluran terenkripsi — seperti koneksi SFTP atau FTPS. Data ini hanya dapat diakses oleh orang yang berwenang.

Enkripsi data di Transfer Family

AWS Transfer Family menggunakan opsi enkripsi default yang Anda tetapkan untuk bucket Amazon S3 untuk mengenkripsi data Anda. Saat Anda mengaktifkan enkripsi pada bucket, semua objek dienkripsi saat disimpan di bucket. Objek dienkripsi dengan menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) atau () kunci terkelola (SSE-KMS). AWS Key Management Service AWS KMS Untuk informasi tentang enkripsi sisi server, lihat Melindungi data menggunakan enkripsi sisi server di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Langkah-langkah berikut menunjukkan cara mengenkripsi data di AWS Transfer Family.

Untuk memungkinkan enkripsi di AWS Transfer Family

  1. Aktifkan enkripsi default untuk bucket Amazon S3 Anda. Untuk petunjuk, lihat enkripsi default Amazon S3 untuk bucket S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  2. Perbarui kebijakan peran AWS Identity and Access Management (IAM) yang dilampirkan ke pengguna untuk memberikan izin required AWS Key Management Service (AWS KMS).

  3. Jika Anda menggunakan kebijakan sesi untuk pengguna, kebijakan sesi harus memberikan AWS KMS izin yang diperlukan.

Contoh berikut menunjukkan kebijakan IAM yang memberikan izin minimum yang diperlukan saat menggunakan bucket Amazon S3 AWS Transfer Family yang diaktifkan untuk enkripsi. AWS KMS Sertakan kebijakan contoh ini dalam kebijakan peran IAM pengguna dan kebijakan sesi, jika Anda menggunakannya.

{
   "Sid": "Stmt1544140969635",
   "Action": [
      "kms:Decrypt",
      "kms:Encrypt",
      "kms:GenerateDataKey",
      "kms:GetPublicKey",
      "kms:ListKeyPolicies"
   ],
   "Effect": "Allow",
   "Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
catatan

ID kunci KMS yang Anda tentukan dalam kebijakan ini harus sama dengan yang ditentukan untuk enkripsi default pada langkah 1.

Root, atau peran IAM yang digunakan untuk pengguna, harus diizinkan dalam kebijakan AWS KMS kunci. Untuk informasi tentang kebijakan AWS KMS utama, lihat Menggunakan kebijakan utama di AWS KMS di Panduan AWS Key Management Service Pengembang.

AWS Transfer Family enkripsi saat istirahat

Karena AWS Transfer Family merupakan layanan transfer file, itu tidak mengelola data penyimpanan Anda saat istirahat. Layanan penyimpanan dan sistem yang AWS Transfer Family mendukung bertanggung jawab untuk melindungi data dalam keadaan itu. Namun, ada beberapa data terkait layanan yang AWS Transfer Family mengelola saat istirahat.

Apa yang dienkripsi?

Satu-satunya data yang AWS Transfer Family menangani saat istirahat berkaitan dengan detail yang dibutuhkan untuk mengoperasikan server transfer file Anda dan memproses transfer. AWS Transfer Family menyimpan data berikut dengan enkripsi penuh saat istirahat di Amazon DynamoDB:

  • Konfigurasi server (misalnya, pengaturan server, konfigurasi protokol, dan detail titik akhir).

  • Data otentikasi pengguna, termasuk kunci publik SSH dan metadata pengguna.

  • Rincian eksekusi alur kerja dan konfigurasi langkah.

  • Konfigurasi konektor dan kredensyal otentikasi untuk sistem pihak ketiga. Kredensyal ini dienkripsi menggunakan AWS Transfer Family kunci enkripsi terkelola.

Manajemen kunci

Anda tidak dapat mengelola kunci enkripsi yang AWS Transfer Family digunakan untuk menyimpan informasi di DynamoDB yang terkait dengan menjalankan server Anda dan memproses transfer. Informasi ini mencakup konfigurasi server Anda, data otentikasi pengguna, detail alur kerja, dan kredensi konektor.

Apa yang tidak dienkripsi?

Meskipun AWS Transfer Family tidak mengontrol bagaimana data penyimpanan Anda dienkripsi saat istirahat, kami tetap menyarankan untuk mengonfigurasi lokasi penyimpanan Anda dengan tingkat keamanan tertinggi yang mereka dukung. Misalnya, Anda dapat mengenkripsi objek dengan kunci enkripsi terkelola Amazon S3 (SSE-S3) atau kunci (SSE-KMS) AWS KMS .

Pelajari lebih lanjut tentang cara layanan AWS penyimpanan mengenkripsi data saat istirahat: