Protezione dei dati nella messaggistica con l'utente AWS finale (SMS) - AWS SMS di messaggistica per l'utente finale
Crittografia dei datiCrittografia dei dati a riposoCrittografia dei dati in transitoGestione dei messaggi SMS della messaggistica per l'utente finaleGestione delle chiaviRiservatezza del traffico inter-reteCreazione di un endpoint VPC di interfaccia per la messaggistica all'utente AWS finale (SMS)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati nella messaggistica con l'utente AWS finale (SMS)

Il modello di responsabilità AWS condivisa modello si applica alla protezione dei dati negli SMS di messaggistica con l'utente AWS finale. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al AWS Modello di responsabilità condivisa e GDPR nel AWS Blog sulla sicurezza.

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l’autenticazione a più fattori (MFA) con ogni account.

  • SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando si lavora con SMS di messaggistica per l'utente AWS finale o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

Crittografia dei dati

AWS I dati SMS di End User Messaging sono crittografati in transito e inattivi entro i AWS confini. Quando invii dati a AWS End User Messaging SMS, i dati vengono crittografati non appena vengono ricevuti e li archivia. Quando recuperi i dati dagli SMS di messaggistica con l'utente AWS finale, questi ti trasmettono utilizzando i protocolli di sicurezza correnti. Quando si utilizza AWS End User Messaging SMS per inviare un messaggio SMS a un dispositivo mobile esterno, i dati vengono trasferiti al di fuori dei AWS confini tramite il protocollo SMS e sono soggetti alle limitazioni tecniche degli SMS.

Crittografia dei dati a riposo

AWS End User Messaging SMS crittografa tutti i dati che memorizza per te all'interno del AWS limite. Ciò include i dati di configurazione, i dati di registrazione e tutti i dati aggiunti agli SMS di messaggistica con l'utente AWS finale. Per crittografare i dati, AWS End User Messaging SMS utilizza chiavi interne AWS Key Management Service (AWS KMS) che il servizio possiede e gestisce per conto dell'utente. Queste chiavi vengono ruotate su base regolare. Per ulteriori informazioni su AWS KMS, consulta la Guida per sviluppatori di AWS Key Management Service.

Crittografia dei dati in transito

AWS End User Messaging SMS utilizza HTTPS e Transport Layer Security (TLS) 1.2 per comunicare con i client e le applicazioni. Per comunicare con altri AWS servizi, AWS End User Messaging SMS utilizza HTTPS e TLS 1.2. Inoltre, quando si creano e gestiscono risorse SMS di messaggistica con l'utente AWS finale utilizzando la console, un AWS SDK o il AWS Command Line Interface, tutte le comunicazioni sono protette tramite HTTPS e TLS 1.2.

Quando si utilizza AWS End User Messaging SMS per inviare un messaggio SMS a un dispositivo mobile esterno, i dati vengono trasferiti al di fuori del AWS confine tramite il protocollo SMS. Il protocollo SMS presenta diverse limitazioni intrinseche, come la mancanza di end-to-end crittografia, che possono essere rilevanti per il vostro caso d'uso. Per ulteriori informazioni sulle limitazioni degli SMS e sulle migliori pratiche di sicurezza, consulta Considerazioni sulla sicurezza del protocollo SMS eProcedure consigliate per la sicurezza del protocollo SMS.

Gestione dei messaggi SMS della messaggistica per l'utente finale

AWS End User Messaging SMS elabora e archivia i messaggi SMS AWS nella regione selezionata dal cliente. Tuttavia, le fasi finali della consegna dei messaggi SMS operano su reti mobili internazionali senza alcun AWS controllo. Come è consuetudine nella consegna dei messaggi SMS, i fornitori di servizi SMS che AWS utilizzano possono utilizzare essi stessi fornitori di servizi a valle per instradare i messaggi SMS a livello globale. Questi fornitori di servizi downstream possono indirizzare i messaggi SMS attraverso endpoint o reti in regioni diverse dalla AWS regione selezionata dal cliente, anche se l'utente finale destinatario di un messaggio SMS si trova nella stessa regione.

Gestione delle chiavi

Per crittografare i AWS dati SMS di messaggistica con l'utente AWS finale, End User Messaging SMS utilizza AWS KMS chiavi interne che il servizio possiede e gestisce per conto dell'utente. Queste chiavi vengono ruotate su base regolare. Non puoi fornire e utilizzare le tue AWS KMS o altre chiavi per crittografare i dati archiviati in AWS End User Messaging SMS.

Riservatezza del traffico inter-rete

La privacy del traffico internetwork si riferisce alla protezione delle connessioni e del traffico tra AWS End User Messaging SMS e i client e le applicazioni locali e tra AWS End User Messaging SMS e altre AWS risorse degli stessi. Regione AWS Le seguenti funzionalità e pratiche possono aiutarti a proteggere la privacy del traffico di rete per gli SMS di messaggistica con l'utente AWS finale.

Traffico tra AWS End User Messaging (SMS) e client e applicazioni locali

Per stabilire una connessione privata tra AWS End User Messaging SMS e client e applicazioni sulla rete locale, è possibile utilizzare. Direct Connect Consente di collegare la rete a una posizione AWS Direct Connect utilizzando un cavo Ethernet standard in fibra ottica. Un'estremità del cavo è collegata al router. L'altra estremità è connessa a un Direct Connect router. Per ulteriori informazioni, consulta Che cos’è Direct Connect? nella Guida per l’utente di Direct Connect .

Per garantire l'accesso sicuro agli SMS di messaggistica con l'utente AWS finale tramite publiced APIs, ti consigliamo di rispettare i requisiti di messaggistica SMS per l'utente AWS finale per le chiamate API. AWS End User Messaging SMS richiede ai client di utilizzare Transport Layer Security (TLS) 1.2 o versione successiva. I client devono inoltre supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La maggior parte dei sistemi moderni come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID di chiave di accesso e una chiave di accesso segreta associata a un principale AWS Identity and Access Management (IAM) per l' AWS account. In alternativa, è possibile utilizzare AWS Security Token Service (AWS STS) per generare le credenziali di sicurezza temporanee per firmare le richieste.

Traffico tra gli SMS di messaggistica dell'utente AWS finale e altre AWS risorse

Per proteggere le comunicazioni tra SMS di messaggistica con l'utente AWS finale e altre AWS risorse nella stessa AWS regione, AWS End User Messaging SMS utilizza HTTPS e TLS 1.2 per impostazione predefinita.

Comprendere il traffico SMS al di fuori dei confini di AWS

Noi di AWS, prendiamo sul serio la protezione dei dati. Utilizziamo una serie di misure di sicurezza per salvaguardare i dati archiviati ed elaborati all'interno del nostro ambiente cloud. Tuttavia, è importante comprendere che il livello di protezione può variare quando i dati escono dal AWS confine e vengono elaborati o trasmessi da soggetti esterni.

Il protocollo SMS non supporta la crittografia. Per inviare un messaggio SMS AWS è necessario trasmettere il messaggio SMS al di fuori del AWS confine e il messaggio SMS non verrà end-to-end crittografato.

Creazione di un endpoint VPC di interfaccia per la messaggistica all'utente AWS finale (SMS)

È possibile stabilire una connessione privata tra il cloud privato virtuale (VPC) e un endpoint in AWS End User Messaging SMS creando un endpoint VPC di interfaccia.

Gli endpoint di interfaccia sono basati su una tecnologia che consente di accedere in modo privato agli SMS di messaggistica dell'utente AWS finale APIs senza un gateway Internet, un dispositivo NAT, una connessione VPN o. AWS PrivateLink Direct Connect Le istanze del tuo VPC non necessitano di indirizzi IP pubblici per comunicare con gli APIs SMS di messaggistica per AWS l'utente finale che si integrano con. AWS PrivateLink

Per ulteriori informazioni, consulta la Guida per AWS PrivateLink.

Creazione di un endpoint VPC di interfaccia

È possibile creare un endpoint di interfaccia utilizzando la console Amazon VPC o AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consulta Creare un endpoint di interfaccia nella Guida. AWS PrivateLink

AWS End User Messaging SMS supporta i seguenti nomi di servizio:

  • com.amazonaws.region.sms-voice

Se si attiva il DNS privato per un endpoint di interfaccia, è possibile effettuare richieste API a AWS End User Messaging SMS utilizzando il nome DNS predefinito per, ad esempio Regione AWS,. com.amazonaws.us-east-1.sms-voice Per ulteriori informazioni, consulta Hostname DNS nella Guida per l'utente di AWS PrivateLink .

Creazione di una policy degli endpoint VPC

È possibile collegare una policy degli endpoint all'endpoint VPC che controlla l'accesso. La policy specifica le informazioni riportate di seguito:

  • Il principale che può eseguire operazioni.

  • Le azioni che possono essere eseguite.

  • Le risorse sui cui si possono eseguire azioni.

Per ulteriori informazioni, consulta la sezione Controllo dell'accesso ai servizi con policy di endpoint nella Guida di AWS PrivateLink .

Esempio di policy degli endpoint VPC

La seguente politica degli endpoint VPC consente l'accesso alle azioni SMS di messaggistica utente AWS finale elencate per tutti i principali su tutte le risorse. 

{
"Statement": [
    {
      "Principal": "*",
      "Action": [
        "sms-voice:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}