View a markdown version of this page

Protezione dei dati in AWS Supply Chain - AWS Supply Chain
Dati gestiti da Supply ChainPreferenza di opt-outCrittografia dei dati a riposoCrittografia dei dati in transitoGestione delle chiaviRiservatezza del traffico inter-reteCome utilizza le sovvenzioni AWS Supply Chain in AWS KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in AWS Supply Chain

Il modello di responsabilità AWS condivisa modello di di si applica alla protezione dei dati in AWS Supply Chain. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al AWS Modello di responsabilità condivisa e GDPR nel AWS Blog sulla sicurezza.

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l’autenticazione a più fattori (MFA) con ogni account.

  • SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori Supply Chain o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

Dati gestiti da Supply Chain

Per limitare i dati a cui possono accedere gli utenti autorizzati di una specifica istanza di AWS Supply Chain, i dati contenuti all'interno di AWS Supply Chain sono separati in base all'ID AWS dell'account e all'ID dell'istanza AWS Supply Chain.

AWS Supply Chain gestisce una varietà di dati della catena di approvvigionamento, come le informazioni sugli utenti, le informazioni estratte dal connettore dati e i dettagli dell'inventario.

Preferenza di opt-out

Possiamo utilizzare e archiviare i tuoi contenuti elaborati da AWS Supply Chain, come indicato nei Termini del servizio AWS. Se desideri rinunciare all'utilizzo o all' AWS Supply Chain archiviazione dei tuoi contenuti, puoi creare una policy di opt-out in AWS Organizations. Per ulteriori informazioni sulla creazione di una politica di opt-out, consulta la sintassi e gli esempi della policy di opt-out dei servizi AI.

Crittografia dei dati a riposo

I dati di contatto classificati come PII, ovvero i dati che rappresentano i contenuti dei clienti, compresi i contenuti utilizzati in Amazon Q e archiviati da AWS Supply Chain, vengono crittografati quando sono inattivi (ovvero prima di AWS Supply Chain essere inseriti, archiviati o salvati su disco) con una chiave limitata nel tempo e specifica per l' AWS Supply Chain istanza.

La crittografia lato server di Amazon S3 viene utilizzata per crittografare tutti i dati della console e delle applicazioni Web con una chiave AWS Key Management Service dati unica per ogni account cliente. Per informazioni su AWS KMS keys, consulta What is? AWS Key Management Service nella Guida per gli AWS Key Management Service sviluppatori.

Nota

AWS Supply Chain le funzionalità Supply Planning e N-Tier Visibility non supportano la crittografia data-at-rest con il KMS-CMK fornito.

Crittografia dei dati in transito

I dati, inclusi i contenuti utilizzati in Amazon Q e AWS Supply Chain scambiati con AWS Supply Chain, sono protetti durante il transito tra il browser Web dell'utente e la catena di AWS fornitura utilizzando la crittografia TLS standard del settore.

Gestione delle chiavi

AWS Supply Chain supporta parzialmente KMS-CMK.

Per informazioni sull'aggiornamento della chiave AWS KMS AWS Supply Chain, consulta. Fase 2: Creazione di un'istanza

Riservatezza del traffico inter-rete

Nota

AWS Supply Chain non supporta PrivateLink.

Un endpoint di cloud privato virtuale (VPC) per AWS Supply Chain è un'entità logica all'interno di un VPC che consente la connettività solo a. AWS Supply Chain Il VPC indirizza le richieste AWS Supply Chain e reindirizza le risposte al VPC. Per ulteriori informazioni, consulta VPC Endpoints nella VPC User Guide.

Come utilizza le sovvenzioni AWS Supply Chain in AWS KMS

AWS Supply Chain richiede una concessione per utilizzare la chiave gestita dal cliente.

AWS Supply Chain crea diverse concessioni utilizzando la AWS KMS chiave che viene passata durante l'CreateInstanceoperazione. AWS Supply Chain crea una sovvenzione per tuo conto inviando CreateGrantrichieste a AWS KMS. Le sovvenzioni AWS KMS vengono utilizzate per AWS Supply Chain consentire l'accesso alla AWS KMS chiave in un account cliente.

Nota

AWS Supply Chain utilizza il proprio meccanismo di autorizzazione. Una volta aggiunto un utente AWS Supply Chain, non è possibile negare che lo stesso utente utilizzi la AWS KMS politica.

AWS Supply Chain utilizza la concessione per quanto segue:

  • Per inviare GenerateDataKeyrichieste AWS KMS di crittografia dei dati archiviati nell'istanza.

  • A cui inviare richieste Decrypt per AWS KMS leggere i dati crittografati associati all'istanza.

  • Per aggiungere DescribeKeye RetireGrantautorizzazioni per proteggere i tuoi dati quando li invii ad altri AWS servizi come Amazon Forecast. CreateGrant

Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. Se lo fai, non AWS Supply Chain sarai in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati.

Monitoraggio della crittografia per AWS Supply Chain

Gli esempi seguenti sono AWS CloudTrail eventi per Encrypt e Decrypt per monitorare le operazioni KMS chiamate AWS Supply Chain ad accedere ai dati crittografati dalla chiave gestita dal cliente: GenerateDataKey

Encrypt

              {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "scn.amazonaws.com"
    },
    "eventTime": "2024-03-06T22:39:32Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "172.12.34.56"
    "userAgent": "Example/Desktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
    },
    "responseElements": null,
    "requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "readOnly": true,
    "resources": [
        {
            "accountId": account ID,
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "112233445566",
    "sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
    "eventCategory": "Management"
}
GenerateDataKey

            {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "scn.amazonaws.com"
    },
     "eventTime": "2024-03-06T22:39:32Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "172.12.34.56"
    "userAgent": "Example/Desktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:s3:arn": "arn:aws:s3:::test/rawEvent/bf6666c1-111-48aaca-b6b0-dsadsadsa3432423/noFlowName/scn.data.inboundorder/20240306_223934_536"
        },
        "keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
        "keySpec": "AES_222"
    },
    "responseElements": null,
    "requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "readOnly": true,
    "resources": [
        {
            "accountId": account ID,
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "112233445566",
    "sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
    "eventCategory": "Management"
}
Decrypt

            {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "scn.amazonaws.com"
    },
     "eventTime": "2024-03-06T22:39:32Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "172.12.34.56"
    "userAgent": "Example/Desktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "readOnly": true,
    "resources": [
        {
            "accountId": account ID,
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "112233445566",
    "sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
    "eventCategory": "Management"
}