Protezione e crittografia dei dati - AWS Transfer Family
Crittografia dei dati in Transfer FamilyCrittografia a riposo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione e crittografia dei dati

Il modello di responsabilità AWS condivisa Modello di di si applica alla protezione dei dati in AWS Transfer Family (Transfer Family). Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutto il AWS Cloud. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. Questo contenuto include le attività di configurazione e gestione della sicurezza per i AWS servizi che utilizzi. Per ulteriori informazioni sulla privacy dei dati, consulta Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il modello di responsabilitàAWS condivisa e il post sul blog sul GDPR sul AWS Security Blog.

Ai fini della protezione dei dati, ti consigliamo di proteggere le credenziali dell' AWS account e di configurare account utente individuali con AWS IAM Identity Center. In questo modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere il proprio lavoro. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • SSL/TLS Da utilizzare per comunicare con AWS le risorse. Supportiamo TLS 1.2.

  • Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS dei servizi.

  • Utilizza i servizi di sicurezza gestiti avanzati, ad esempio Amazon Macie, che aiutano a individuare e proteggere i dati personali archiviati in Amazon S3.

  • Se si richiedono moduli crittografici convalidati FIPS 140-2 quando si accede ad AWS tramite una CLI o un'API, utilizzare un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-2.

Consigliamo di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero come un campo Nome. Ciò include quando lavori con Transfer Family o altri AWS servizi utilizzando la console AWS CLI, l'API o AWS SDKs. Tutti i dati di configurazione inseriti nella configurazione del servizio Transfer Family o nelle configurazioni di altri servizi potrebbero essere raccolti per essere inclusi nei registri di diagnostica. Quando fornisci un URL a un server esterno, non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta a tale server.

Al contrario, i dati delle operazioni di caricamento e download da e verso i server Transfer Family vengono trattati come completamente privati e non esistono mai al di fuori dei canali crittografati, come una connessione SFTP o FTPS. Questi dati sono sempre accessibili solo alle persone autorizzate.

Crittografia dei dati in Transfer Family

AWS Transfer Family utilizza le opzioni di crittografia predefinite impostate per il bucket Amazon S3 per crittografare i dati. Quando abiliti la crittografia in un bucket, tutti gli oggetti vengono crittografati quando vengono archiviati nel bucket. Gli oggetti vengono crittografati utilizzando la crittografia lato server con chiavi gestite Amazon S3 (SSE-S3) AWS Key Management Service o () chiavi gestite (SSE-KMS AWS KMS). Per informazioni sulla crittografia lato server, consulta Protezione dei dati utilizzando la crittografia lato server nella Guida per l'utente di Amazon Simple Storage Service.

I passaggi seguenti mostrano come crittografare i dati in. AWS Transfer Family

Per consentire la crittografia in AWS Transfer Family

  1. Abilita la crittografia predefinita per il tuo bucket Amazon S3. Per istruzioni, consulta la crittografia predefinita di Amazon S3 per i bucket S3 nella Guida per l'utente di Amazon Simple Storage Service.

  2. Aggiorna la policy del ruolo AWS Identity and Access Management (IAM) allegata all'utente per concedere le autorizzazioni richieste AWS Key Management Service ()AWS KMS.

  3. Se si utilizza una politica di sessione per l'utente, la politica di sessione deve concedere le AWS KMS autorizzazioni richieste.

L'esempio seguente mostra una policy IAM che concede le autorizzazioni minime richieste quando si utilizza AWS Transfer Family con un bucket Amazon S3 abilitato per la crittografia. AWS KMS Includi questa policy di esempio sia nella policy del ruolo IAM dell'utente che nella policy di sessione, se ne utilizzi una.

{
   "Sid": "Stmt1544140969635",
   "Action": [
      "kms:Decrypt",
      "kms:Encrypt",
      "kms:GenerateDataKey",
      "kms:GetPublicKey",
      "kms:ListKeyPolicies"
   ],
   "Effect": "Allow",
   "Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
Nota

L'ID della chiave KMS specificato in questa politica deve essere lo stesso specificato per la crittografia predefinita nel passaggio 1.

Root, o il ruolo IAM utilizzato per l'utente, deve essere consentito nella policy AWS KMS chiave. Per informazioni sulla politica AWS KMS chiave, consulta Using key policy in AWS KMS nella AWS Key Management Service Developer Guide.

AWS Transfer Family crittografia a riposo

Poiché AWS Transfer Family è un servizio di trasferimento di file, non gestisce i dati di archiviazione inattivi. I servizi e i sistemi di archiviazione che lo AWS Transfer Family supportano sono responsabili della protezione dei dati in tale stato. Tuttavia, alcuni dati relativi ai servizi vengono AWS Transfer Family gestiti a riposo.

Cosa è crittografato?

Gli unici dati AWS Transfer Family archiviati riguardano i dettagli necessari per gestire i server di trasferimento file ed elaborare i trasferimenti. AWS Transfer Family archivia i seguenti dati con crittografia completa a riposo in Amazon DynamoDB:

  • configurazioni del server (ad esempio, impostazioni del server, configurazioni dei protocolli e dettagli degli endpoint).

  • Dati di autenticazione utente, incluse chiavi pubbliche SSH e metadati utente.

  • Dettagli sull'esecuzione del flusso di lavoro e configurazioni delle fasi.

  • Configurazioni dei connettori e credenziali di autenticazione per sistemi di terze parti. Queste credenziali vengono crittografate utilizzando chiavi di crittografia AWS Transfer Family gestite.

Gestione delle chiavi

Non è possibile gestire le chiavi di crittografia AWS Transfer Family utilizzate per archiviare le informazioni in DynamoDB relative alla gestione dei server e all'elaborazione dei trasferimenti. Queste informazioni includono le configurazioni del server, i dati di autenticazione degli utenti, i dettagli del flusso di lavoro e le credenziali dei connettori.

Cosa non è crittografato?

Sebbene AWS Transfer Family non controlli il modo in cui i dati di archiviazione vengono crittografati quando sono archiviati, consigliamo comunque di configurare le posizioni di archiviazione con il massimo livello di sicurezza supportato. Ad esempio, puoi crittografare oggetti con chiavi di crittografia gestite di Amazon S3 (SSE-S3) o chiavi (SSE-KMS) AWS KMS .

Scopri di più su come i servizi di storage crittografano i dati inattivi: AWS