Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Protezione dei dati in Amazon EBS
Il modello di responsabilità AWS condivisa modello
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
-
Utilizza l'autenticazione a più fattori (MFA) con ogni account.
-
Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
-
Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.
-
Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
-
Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
-
Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3
.
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con Amazon EBS o altro Servizi AWS utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
Argomenti
Sicurezza dei dati di Amazon EBS
I volumi di Amazon EBS sono presentati come dispositivi a blocchi non elaborati e non formattati. Sono dispositivi logici creati sull'infrastruttura EBS e il servizio Amazon EBS garantisce che siano logicamente vuoti (ovvero che i blocchi non elaborati vengano azzerati o contengano dati crittograficamente pseudocasuali) prima di qualsiasi utilizzo o riutilizzo da parte di un cliente.
Se disponi di procedure che richiedono la cancellazione di tutti i dati usando un metodo specifico, dopo o prima dell'utilizzo (o in entrambi i casi), come quelli indicati in modo dettagliato in DoD 5220.22-M (National Industrial Security Program Operating Manual, Manuale operativo del programma nazionale di sicurezza industriale) o NIST 800-88 (Guidelines for Media Sanitization, Linee guida per la sanificazione dei supporti), hai la possibilità di eseguire questa operazione su Amazon EBS. Tale attività a livello di blocco si rifletterà sui supporti di archiviazione sottostanti all'interno del servizio Amazon EBS.
Crittografia dei dati su disco e in transito.
La crittografia Amazon EBS è una soluzione di crittografia che consente di crittografare i volumi Amazon EBS e gli snapshot Amazon EBS utilizzando chiavi crittografiche. AWS Key Management Service Le operazioni di crittografia EBS avvengono sui server che ospitano EC2 le istanze Amazon, garantendo la sicurezza di entrambe data-at-reste data-in-transittra un'istanza e il relativo volume collegato e tutte le istantanee successive. Per ulteriori informazioni, consulta Crittografia Amazon EBS.
Gestione delle chiavi KMS
Quando crei uno snapshot o un volume Amazon EBS crittografato, specifichi una AWS Key Management Service chiave. Per impostazione predefinita, Amazon EBS utilizza la chiave KMS AWS gestita per Amazon EBS nel tuo account e nella tua regione (). aws/ebs
Tuttavia, puoi specificare una chiave KMS gestita dal cliente da creare e gestire. L'utilizzo di una chiave KMS gestita dal cliente offre maggiore flessibilità, inclusa la possibilità di creare, ruotare e disabilitare le chiavi KMS.
Per utilizzare una chiave KMS gestita dal cliente, devi concedere agli utenti l'autorizzazione a utilizzare la chiave KMS. Per ulteriori informazioni, consulta Autorizzazioni del per gli utenti .
Importante
Amazon EBS supporta solo chiavi KMS simmetriche. Non puoi utilizzare chiavi KMS asimmetriche per crittografare un volume Amazon EBS e le istantanee. Per informazioni su come determinare se una chiave KMS è simmetrica o asimmetrica, consulta Identificare le chiavi KMS asimmetriche.
Per ogni volume, Amazon EBS chiede di AWS KMS generare una chiave dati univoca crittografata con la chiave KMS specificata. Amazon EBS archivia la chiave di dati crittografata con il volume. Quindi, quando colleghi il volume a un' EC2 istanza Amazon, Amazon EBS chiama AWS KMS per decrittografare la chiave dati. Amazon EBS utilizza la chiave dati in chiaro nella memoria dell'hypervisor per crittografare tutti gli I/O sul volume. Per ulteriori informazioni, consulta Come funziona la crittografia Amazon EBS.