Proteção de dados no AWS IoT Core
O modelo de responsabilidade compartilhada
Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use uma autenticação multifator (MFA) com cada conta.
-
Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Configure os logs de API e atividade do usuário com AWS CloudTrail. Para obter informações sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte Working with CloudTrail trails no Guia do usuário do AWS CloudTrail.
-
Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
-
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
-
Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comandos ou de uma API, use um endpoint do FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3
.
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo Nome. Isso inclui trabalhar com a AWS IoT ou outros Serviços da AWS usando o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
Consulte mais informações sobre proteção de dados na publicação do blog AWS Shared Responsibility Model and GDPR
AWS IoTOs dispositivos do coletam dados, realizam uma manipulação desses dados e enviam esses dados para outro web service. É possível optar por armazenar alguns dados em seu dispositivo por um curto período. Você é responsável por fornecer a proteção de dados sobre esses dados em repouso. Quando o dispositivo envia dados ao AWS IoT, ele faz isso por meio de uma conexão TLS, conforme abordado mais adiante nesta seção. Os dispositivos do AWS IoT podem enviar dados a qualquer serviço da AWS. Para obter mais informações sobre a segurança de dados de cada serviço, consulte a documentação desse serviço. O AWS IoT pode ser configurado para gravar logs no CloudWatch Logs e registrar chamadas de API do AWS IoT no AWS CloudTrail. Para acessar mais informações sobre a segurança de dados desses serviços, consulte Controle de acesso e autenticação para o Amazon CloudWatch e Criptografar os arquivos de log do CloudTrail com chaves gerenciadas do AWS KMS.
Criptografia de dados no AWS IoT
Por padrão, todos os dados de AWS IoT em trânsito e em repouso são criptografados. Os dados em trânsito são criptografados usando TLS e os dados em repouso são criptografados usando chaves da AWS. A AWS IoT comporta chaves gerenciadas pelo cliente AWS KMS keys (chaves do KMS) do AWS Key Management Service (AWS KMS). No entanto, o Device Advisor e a AWS IoT Wireless usam apenas uma Chave pertencente à AWS para criptografar os dados do cliente.
