Protezione dei dati in AWS Systems Manager - AWS Systems Manager
Crittografia dei datiRiservatezza del traffico Internet

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in AWS Systems Manager

La protezione dei dati ha come scopo di proteggere i dati sia in transito (durante la trasmissione verso e da Systems Manager), sia quando sono inattivi (ovvero quando sono archiviati nei data center AWS).

Il modello di responsabilità condivisa di AWSsi applica alla protezione dei dati in AWS Systems Manager. Come descritto in questo modello, AWSè responsabile della protezione dell'infrastruttura globale che esegue tutto l'Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al Modello di responsabilità condivisa AWSe GDPR nel Blog sulla sicurezza AWS.

Per garantire la protezione dei dati, ti suggeriamo di proteggere le credenziali Account AWSe di configurare i singoli utenti con AWS IAM Identity Centero AWS Identity and Access Management(IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • Utilizza SSL/TLS per comunicare con le risorse AWS. È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei percorsi CloudTrail per acquisire le attività AWS, consulta Utilizzo dei percorsi CloudTrail nella Guida per l'utente di AWS CloudTrail.

  • Utilizza le soluzioni di crittografia AWS, insieme a tutti i controlli di sicurezza di default all'interno dei Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se necessiti di moduli crittografici convalidati FIPS 140-3 quando accedi ad AWS attraverso un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Questo vale quando si lavora con l'Systems Manager e altri Servizi AWS utilizzando la console, l'API, la AWS CLI o gli SDK di AWS. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.

Crittografia dei dati

Crittografia a riposo

Parametri Parameter Store

I tipi di parametri che è possibile creare in Parameter Store, uno strumento di AWS Systems Manager, includono String, StringList e SecureString.

Tutti i parametri, indipendentemente dal tipo, sono crittografati sia in transito che a riposo. In transito, i parametri vengono crittografati utilizzando Transport Layer Security (TLS), per creare una connessione HTTPS sicura per le richieste API. A riposo, vengono crittografati con un Chiave di proprietà di AWS in AWS Key Management Service (AWS KMS). Per ulteriori informazioni sulla crittografia Chiave di proprietà di AWS, consulta Chiavi di proprietà di AWS nella Guida per gli sviluppatori di AWS Key Management Service.

Il SecureString tipo offre opzioni di crittografia aggiuntive ed è consigliato per tutti i dati sensibili. È possibile scegliere tra i seguenti tipi di chiavi AWS KMS per crittografare e decrittografare il valore di un parametro SecureString:

  • La Chiave gestita da AWS per il tuo account

  • Una chiave gestita dal cliente (CMK) che hai creato nel tuo account

  • Un CMK in un altro Account AWS che è stato condiviso con te

Per ulteriori informazioni sulla crittografia AWS KMS, consulta la Guida per gli sviluppatori di AWS Key Management Service.

Contenuto nei bucket S3

Come parte del tuoSystems ManagerPuoi scegliere di caricare o archiviare i dati in uno o più bucket Amazon Simple Storage Service (Amazon S3).

Per informazioni sulla crittografia bucket S3, consulta Protezione dei dati tramite crittografia e Protezione dei dati in Amazon S3 nella Guida per gli sviluppatori Amazon Simple Storage Service.

Di seguito sono riportati i tipi di dati che puoi caricare o che sono stati archiviati nei bucket S3 come parte delle attività Systems Manager:

  • L'output dei comandi in Run Command, uno strumento di AWS Systems Manager

  • Pacchetti in Distributor, uno strumento di AWS Systems Manager

  • Log per l'operazione di applicazione delle patch in Patch Manager, uno strumento di AWS Systems Manager

  • Patch ManagerElenchi di override delle patch

  • Script o playbook Ansible da eseguire in un flusso di lavoro del runbook in Automazione, uno strumento di AWS Systems Manager

  • Profili Chef InSpec da utilizzare con scansioni in Conformità, uno strumento di AWS Systems Manager

  • Log di AWS CloudTrail

  • Log della cronologia delle sessioni in Session Manager, uno strumento di AWS Systems Manager

  • Rapporti da Explorer, uno strumento di AWS Systems Manager

  • OpsData da OpsCenter, uno strumento di AWS Systems Manager

  • AWS CloudFormation Modelli da utilizzare con i flussi di lavoro di automazione

  • Dati di conformità da una scansione di sincronizzazione dei dati di una risorsa

  • Output delle richieste per creare o modificare l'associazione in State Manager, uno strumento di AWS Systems Manager nei nodi gestiti.

  • Documenti di Systems Manager personalizzati (documenti SSM) che è possibile eseguire utilizzando il AWS Documento SSM gestito AWS-RunDocument

Gruppo di log di CloudWatch Logs

Nell'ambito delle operazioni di Systems Manager, è possibile scegliere di trasmettere i dati a uno o più gruppi di log di Amazon CloudWatch Logs.

Per informazioni sulla crittografia in CloudWatch Logs, si veda Encrypt Log Data in CloudWatch Logs (Crittografia dei dati di log in CloudWatch Logs)AWS Key Management Service nella Guida per l'utente di Amazon CloudWatch Logs.

Di seguito sono riportati i tipi di dati che potrebbero essere stati trasmessi in streaming a un gruppo di log di CloudWatch Logs come parte delle attività di Systems Manager:

  • L'output dei comandi di Run Command

  • L'output degli script eseguiti utilizzando l'operazione aws:executeScript in un runbook Automation

  • Log della cronologia delle sessioni di Session Manager

  • I log da SSM Agent sui tuoi nodi gestiti

Crittografia in transito

Consigliamo di utilizzare un protocollo di crittografia quale Transport Layer Security (TLS) per eseguire la crittografia dei dati sensibili in transito tra i client e i nodi.

Systems Manager fornisce il seguente supporto per la crittografia dei dati in transito.

Connessioni agli endpoint dell'API Systems Manager

Gli endpoint API di Systems Manager supportano solo connessioni protette tramite HTTPS. Quando si gestiscono le risorse di Systems Manager attraverso la Console di gestione AWS, l'SDK AWS o l'API Systems Manager, tutte le comunicazioni sono crittografate con Transport Layer Security (TLS). Per un elenco completo degli endpoint API, consulta Endpoint del Servizio AWS nella Riferimenti generali di Amazon Web Services.

Istanze gestite

AWS Fornisce connettività sicura e privata tra istanze di Amazon Elastic Compute Cloud (Amazon EC2). Inoltre, crittografiamo automaticamente il traffico in transito tra istanze supportate nello stesso VPC o in VPC in peering, utilizzando algoritmi AEAD con crittografia a 256 bit. Tale funzione di crittografia utilizza le funzionalità di offload dell'hardware sottostante e non ha alcun impatto sulle prestazioni della rete. Le istanze supportate sono: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn e R5n.

Sessioni di Session Manager

Per impostazione predefinita, Session Manager utilizza TLS 1.3 per crittografare i dati delle sessioni trasmessi tra i computer locali di utenti nell'account e le istanze EC2. È inoltre possibile scegliere di crittografare ulteriormente i dati in transito utilizzando una AWS KMS key creata in AWS KMS. La crittografia AWS KMS è disponibile per i tipi di sessione Standard_Stream, InteractiveCommands e NonInteractiveCommands.

Accesso Run Command

Per impostazione predefinita, l'accesso remoto ai nodi mediante Run Command è crittografato utilizzando TLS 1.3 e le richieste per creare una connessione sono firmate utilizzando SigV4.

Riservatezza del traffico Internet

Puoi utilizzare Amazon Virtual Private Cloud (Amazon VPC) per creare delimitatori tra le risorse nei nodi gestiti e nel traffico di controllo fra di esse, la rete locale e Internet. Per i dettagli, consulta la sezione Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager.

Per ulteriori informazioni sulla sicurezza di Amazon Virtual Private Cloud, consulta Riservatezza del traffico Internet in Amazon VPC nella guida per l'utente di Amazon VPC.