Protezione dei dati in AWS Proton - AWS Proton
Crittografia lato server inattivaCrittografia in transitoAWS Proton gestione delle chiavi di crittografiaAWS Proton contesto di crittografia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in AWS Proton

AWS Proton è conforme al modello di responsabilità AWS condivisa modello di di che include regolamenti e linee guida per la protezione dei dati. AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Servizi AWS. AWS mantiene il controllo sui dati ospitati su questa infrastruttura, compresi i controlli di configurazione di sicurezza per la gestione dei contenuti e dei dati personali dei clienti. AWS i clienti e i partner APN, che agiscono in qualità di titolari o incaricati del trattamento dei dati, sono responsabili di tutti i dati personali che inseriscono nel Cloud AWS

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare account utente individuali con AWS Identity and Access Management (IAM), in modo che a ciascun utente vengano concesse solo le autorizzazioni necessarie per svolgere le proprie mansioni lavorative. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • Utilizza SSL/TLS per comunicare con le risorse. AWS È consigliabile TLS 1.2 o versioni successive.

  • Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

Ti consigliamo vivamente di non inserire mai informazioni identificative sensibili, come i numeri di conto dei tuoi clienti, in campi di testo in formato libero come il campo Nome. Ciò vale anche quando lavori AWS Proton o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs Tutti i dati inseriti nei campi di testo in formato libero per gli identificatori delle risorse o elementi simili relativi alla gestione delle AWS risorse potrebbero essere raccolti per essere inclusi nei registri di diagnostica. Quando fornisci un URL a un server esterno, non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta a tale server.

Per ulteriori informazioni sulla protezione dei dati, consulta il post del blog AWS Modello di responsabilità condivisa e GDPR su AWS Security Blog.

Crittografia lato server inattiva

Se scegli di crittografare i dati sensibili nei tuoi pacchetti di modelli inattivi nel bucket S3 in cui sono archiviati i pacchetti di modelli, devi utilizzare una chiave SSE-S3 o SSE-KMS per consentire il recupero dei pacchetti di modelli in modo che possano essere allegati AWS Proton a un modello registrato. AWS Proton

Crittografia in transito

Tutte le comunicazioni da servizio a servizio sono crittografate in transito utilizzando SSL/TLS.

AWS Proton gestione delle chiavi di crittografia

All'interno AWS Proton, tutti i dati dei clienti vengono crittografati per impostazione predefinita utilizzando una chiave AWS Proton proprietaria. Se si fornisce una AWS KMS chiave di proprietà e gestita dal cliente, tutti i dati del cliente vengono crittografati utilizzando la chiave fornita dal cliente, come descritto nei paragrafi seguenti.

Quando si crea un AWS Proton modello, si specifica la chiave e si AWS Proton utilizzano le credenziali per creare una concessione che AWS Proton consente l'utilizzo della chiave.

Se ritiri manualmente la concessione oppure disabiliti o elimini la chiave specificata, non AWS Proton è in grado di leggere i dati che sono stati crittografati dalla chiave specificata e generati. ValidationException

AWS Proton contesto di crittografia

AWS Proton supporta le intestazioni del contesto di crittografia. Un contesto di crittografia è un set facoltativo di coppie chiave-valore che possono contenere ulteriori informazioni contestuali sui dati. Per informazioni generali sul contesto di crittografia, consulta Concetti di AWS Key Management Service - Contesto di crittografia nella Guida per gli sviluppatori di AWS Key Management Service .

Un contesto di crittografia è un insieme di coppie chiave-valore che contengono dati arbitrari non segreti. Quando si include un contesto di crittografia in una richiesta di crittografia dei dati, associa AWS KMS crittograficamente il contesto di crittografia ai dati crittografati. lo stesso contesto di crittografia sia necessario per decrittografare i dati.

I clienti possono utilizzare il contesto di crittografia per identificare l'uso della chiave gestita dal cliente nei registri e nei registri di controllo. Viene inoltre visualizzato in testo non crittografato nei log, ad esempio AWS CloudTrail Amazon Logs. CloudWatch

AWS Proton non utilizza alcun contesto di crittografia specificato dal cliente o specificato esternamente.

AWS Proton aggiunge il seguente contesto di crittografia.

{
  "aws:proton:template": "<proton-template-arn>",
  "aws:proton:resource": "<proton-resource-arn>" 
}

Il primo contesto di crittografia identifica il AWS Proton modello a cui è associata la risorsa e funge anche da vincolo per le autorizzazioni e le concessioni delle chiavi gestite dal cliente.

Il secondo contesto di crittografia identifica la risorsa crittografata. AWS Proton

Gli esempi seguenti mostrano l'uso del contesto di AWS Proton crittografia.

Sviluppatore che crea un'istanza di servizio.

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service/my-service/service-instance/my-service-instance" 
}

Un amministratore che crea un modello.

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service-template/my-template"
}