In che modo Amazon Managed Grafana utilizza le sovvenzioni in AWS KMS Fase 1: creare una chiave gestita dal cliente Fase 2: Specificazione di una chiave gestita dal cliente per Amazon Managed Grafana Monitoraggio delle chiavi di crittografia per Amazon Managed Grafana Ulteriori informazioni

Crittografia dei dati a riposo

Per impostazione predefinita, Amazon Managed Grafana fornisce automaticamente la crittografia a riposo e lo fa utilizzando chiavi di crittografia AWS proprietarie.

AWS chiavi possedute: Amazon Managed Grafana utilizza queste chiavi per crittografare automaticamente i dati del tuo spazio di lavoro. Non puoi visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta AWS-owned keys nella AWS KMS Developer Guide.

La crittografia dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili dei clienti, come le informazioni di identificazione personale. Consente di creare applicazioni ad alto livello di sicurezza che rispettano rigorosi requisiti normativi e di conformità per la crittografia.

In alternativa, puoi scegliere di utilizzare una chiave gestita dal cliente quando crei il tuo spazio di lavoro:

Chiavi gestite dal cliente: Amazon Managed Grafana supporta l'uso di una chiave simmetrica gestita dal cliente che puoi creare, possedere e gestire per crittografare i dati nel tuo spazio di lavoro. Poiché hai il pieno controllo di questo tipo di crittografia, puoi eseguire attività come:
- Stabilire e mantenere le policy delle chiavi
- Stabilire e mantenere le policy e le sovvenzioni IAM
- Abilitare e disabilitare le policy delle chiavi
- Ruotare i materiali crittografici delle chiavi
- Aggiungere tag
- Creare alias delle chiavi
- Pianificare l’eliminazione delle chiavi

Per ulteriori informazioni, consulta Customer Managed Keys nella AWS KMS Developer Guide e What is? AWS KMS

Scegliete se utilizzare con attenzione le chiavi gestite dal cliente o le chiavi AWS di proprietà. Le aree di lavoro create con chiavi gestite dal cliente non possono essere convertite per utilizzare chiavi AWS di proprietà in un secondo momento (e viceversa).

Nota

Amazon Managed Grafana abilita automaticamente la crittografia a riposo utilizzando chiavi AWS di proprietà per proteggere i dati senza alcun costo.
Tuttavia, l'utilizzo di una chiave gestita dal cliente comporta dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS KMS.

Importante

Se disabiliti la chiave gestita dal cliente o rimuovi l'accesso ad Amazon Managed Grafana nella policy chiave, il tuo spazio di lavoro diventerà inaccessibile. L'area di lavoro rimarrà in uno ACTIVE stato ma non sarà funzionalmente disponibile. Hai 7 giorni per ripristinare l'accesso riattivando la chiave o ripristinando la policy chiave. Dopo 7 giorni, l'area di lavoro passerà a uno FAILED stato e potrà solo essere eliminata.
La pianificazione dell'eliminazione di una chiave AWS KMS prevede un periodo di attesa minimo di 7 giorni prima che la chiave venga eliminata. Una volta eliminata, una chiave non può essere ripristinata e qualsiasi area di lavoro crittografata con tale chiave perderà definitivamente l'accesso ai dati.
La crittografia a chiave gestita dal cliente è disponibile solo durante la creazione di nuove aree di lavoro. Le aree di lavoro esistenti non possono essere convertite per utilizzare chiavi gestite dal cliente.
Non è possibile modificare la chiave gestita dal cliente di un workspace dopo la creazione.

In che modo Amazon Managed Grafana utilizza le sovvenzioni in AWS KMS

Amazon Managed Grafana richiede sovvenzioni per utilizzare la chiave gestita dai clienti.

Quando crei un'area di lavoro Amazon Managed Grafana crittografata con una chiave gestita dal cliente, Amazon Managed Grafana crea sovvenzioni per tuo conto inviando richieste a. CreateGrant AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Managed Grafana di accedere alla chiave KMS del tuo account, anche quando non viene richiesto direttamente per tuo conto (ad esempio, quando archivia i dati della dashboard o le configurazioni utente).

Amazon Managed Grafana richiede le sovvenzioni per utilizzare la chiave gestita dai clienti per le seguenti operazioni interne:

Invia CreateGrantrichieste per AWS KMS creare sovvenzioni aggiuntive, se necessario.
Invia DescribeKeyrichieste AWS KMS a per verificare che la chiave KMS simmetrica gestita dal cliente fornita durante la creazione di uno spazio di lavoro sia valida.
Invia ReEncryptTo e ReEncryptFrom richiedi a per ricrittografare AWS KMS i dati quando ti sposti tra diversi contesti di crittografia.
Invia richieste Encrypt a per crittografare AWS KMS i dati direttamente con la chiave gestita dal cliente.
Invia le richieste Decrypt a AWS KMS per decrittografare le chiavi dei dati crittografate in modo che possano essere utilizzate per crittografare i dati.
Invia GenerateDataKeyrichieste per AWS KMS generare chiavi dati crittografate dalla chiave gestita dal cliente.
Invia GenerateDataKeyWithoutPlaintextrichieste per AWS KMS generare chiavi dati crittografate senza restituire la versione in testo semplice.
Invia RetireGrantrichieste AWS KMS a borse di studio pensionistiche che non sono più necessarie.

Amazon Managed Grafana crea sovvenzioni alla AWS KMS chiave che consentono ad Amazon Managed Grafana di utilizzare la chiave per tuo conto. Puoi rimuovere l'accesso alla chiave modificando la policy della chiave, disabilitando la chiave o revocando la concessione. È necessario comprendere le conseguenze di queste azioni prima di eseguirle. Ciò può causare la perdita di dati nell'area di lavoro.

Se rimuovi in qualche modo l'accesso a una qualsiasi delle sovvenzioni, Amazon Managed Grafana non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, né di archiviare nuovi dati inviati all'area di lavoro, il che influirà sulle operazioni che dipendono da tali dati. I nuovi aggiornamenti dell'area di lavoro non saranno accessibili e potrebbero andare persi definitivamente.

avvertimento

Se disabiliti la chiave o rimuovi l'accesso ad Amazon Managed Grafana nella policy chiave, i dati dell'area di lavoro non sono più accessibili. L'area di lavoro rimarrà in uno ACTIVE stato ma non sarà funzionalmente disponibile. I nuovi aggiornamenti inviati all'area di lavoro non saranno accessibili e potrebbero andare persi definitivamente. Puoi ripristinare l'accesso ai dati dell'area di lavoro e riprendere a ricevere nuovi dati riattivando la chiave o ripristinando l'accesso di Amazon Managed Grafana alla chiave entro 7 giorni. Dopo 7 giorni senza accesso, l'area di lavoro passerà a uno stato. FAILED
Se pianifichi l'eliminazione della chiave AWS KMS, la chiave verrà eliminata dopo il periodo di attesa obbligatorio di 7 giorni. Una volta eliminata, la chiave non può essere ripristinata e i dati dell'area di lavoro saranno permanentemente inaccessibili.
Se revochi una concessione, questa non può essere ricreata e i dati nell'area di lavoro vengono persi definitivamente.
Amazon Managed Grafana crea ulteriori borse di studio per bambini tramite Amazon RDS grazie alla sua dipendenza da RDS per l'archiviazione dei dati. La revoca di queste sovvenzioni relative a RDS avrà lo stesso effetto permanente sulla perdita di dati della revoca delle sovvenzioni Grafana primarie.

Fase 1: creare una chiave gestita dal cliente

È possibile creare una chiave simmetrica gestita dal cliente utilizzando la console di gestione o il. AWS AWS KMS APIs La chiave deve trovarsi nella stessa regione dell'area di lavoro Amazon Managed Grafana e deve essere una chiave simmetrica con utilizzo delle chiavi. ENCRYPT_DECRYPT

Per creare una chiave simmetrica gestita dal cliente

Segui la procedura riportata in Creazione di una chiave simmetrica gestita dal cliente nella Guida per gli sviluppatori di AWS KMS .

Policy della chiave

Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta Gestione dell'accesso alle chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS KMS .

Per utilizzare la chiave gestita dal cliente con le aree di lavoro Amazon Managed Grafana, le seguenti operazioni API devono essere consentite nella politica chiave:

kms: CreateGrant — Aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una chiave KMS specificata, che consente l'accesso alle operazioni di concessione richieste da Amazon Managed Grafana. Per ulteriori informazioni sulle autorizzazioni, consulta Utilizzo delle concessioni nella Guida per gli sviluppatori di AWS KMS . Ciò consente ad Amazon Managed Grafana di effettuare le seguenti operazioni:
- Chiama GenerateDataKey per generare una chiave dati crittografata e archiviarla.
- Chiama Decrypt per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.
kms: DescribeKey — Fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Managed Grafana di convalidare la chiave.

Di seguito sono riportati alcuni esempi di policy che puoi aggiungere per Amazon Managed Grafana:


{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow IAM Users and Roles to validate KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "Allow IAM Users and Roles to create grant on KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": "kms:CreateGrant",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ],
          "kms:GrantConstraintType": "EncryptionContextSubset"
        },
        "ForAllValues:StringEquals": {
          "kms:GrantOperations": [
            "CreateGrant",
            "RetireGrant",
            "Decrypt",
            "Encrypt",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo"
          ]
        }
      }
    }
  ]
}

Per ulteriori informazioni sulla specificazione delle autorizzazioni in una policy, consulta la AWS Key Management Service Developer Guide.
Per ulteriori informazioni sulla risoluzione dei problemi di accesso tramite chiave, consulta la AWS Key Management Service Developer Guide.

Fase 2: Specificazione di una chiave gestita dal cliente per Amazon Managed Grafana

Quando crei un'area di lavoro, puoi specificare la chiave gestita dal cliente inserendo un KMS Key ARN, che Amazon Managed Grafana utilizza per crittografare i dati archiviati dall'area di lavoro.

Utilizzo della console di gestione AWS

Apri la console Amazon Managed Grafana all'indirizzo. https://console.aws.amazon.com/grafana/
Scegli Crea area di lavoro.
Nella sezione Crittografia, seleziona Chiave gestita dal cliente.
Inserisci l'ARN della tua chiave gestita dal cliente nel campo KMS Key ARN.
Completa la configurazione dell'area di lavoro rimanente e scegli Crea area di lavoro.

Usando il AWS CLI

È possibile specificare una chiave gestita dal cliente durante la creazione di un'area di lavoro utilizzando il --kms-key-id parametro:


aws grafana create-workspace \
    --workspace-name "my-encrypted-workspace" \
    --workspace-description "Workspace with customer managed encryption" \
    --account-access-type "CURRENT_ACCOUNT" \
    --authentication-providers "AWS_SSO" \
    --permission-type "SERVICE_MANAGED" \
    --kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"

Monitoraggio delle chiavi di crittografia per Amazon Managed Grafana

Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue aree di lavoro Amazon Managed Grafana, puoi utilizzare AWS CloudTrail Amazon CloudWatch Logs per tracciare le richieste inviate da Amazon Managed Grafana. AWS KMS

Gli esempi seguenti sono AWS CloudTrail eventi per CreateGrant DescribeKeyGenerateDataKey, e per Decrypt monitorare le operazioni KMS chiamate da Amazon Managed Grafana per accedere ai dati crittografati dalla chiave gestita dal cliente:

CreateGrant

Quando utilizzi una chiave gestita AWS KMS dal cliente per crittografare il tuo spazio di lavoro, Amazon Managed Grafana invia CreateGrant richieste per tuo conto per accedere alla chiave KMS specificata. Le sovvenzioni create da Amazon Managed Grafana sono specifiche per la risorsa associata alla chiave gestita AWS KMS dal cliente.

L'evento di esempio seguente registra l'operazione CreateGrant:


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

DescribeKey

Amazon Managed Grafana utilizza l'DescribeKeyoperazione per verificare se la chiave gestita dal AWS KMS cliente associata al tuo spazio di lavoro esiste nell'account e nella regione.

L’evento di esempio seguente registra l’operazione DescribeKey:


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

GenerateDataKey

Amazon Managed Grafana utilizza l'GenerateDataKeyoperazione per generare chiavi dati utilizzate per crittografare i dati dell'area di lavoro.

L’evento di esempio seguente registra l’operazione GenerateDataKey:


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

Decrypt

Amazon Managed Grafana utilizza l'Decryptoperazione per decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per decrittografare i dati dell'area di lavoro.

L’evento di esempio seguente registra l’operazione Decrypt:


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}

Ulteriori informazioni

Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.

Per ulteriori informazioni sui concetti di AWS KMS base, consulta la Guida per gli sviluppatori.AWS KMS
Per ulteriori informazioni sulle migliori pratiche di sicurezza per AWS KMS, consulta la Guida per gli AWS KMS sviluppatori.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Controllo dell'accesso alla rete

Connettiti ai dati in Amazon VPC