Criptografia no Amazon MWAA - Amazon Managed Workflows for Apache Airflow
Criptografia em repousoCriptografia em trânsito

Criptografia no Amazon MWAA

Os tópicos a seguir descrevem como o Amazon MWAA protege seus dados em repouso e em trânsito. Use essas informações para saber como o Amazon MWAA se integra com AWS KMS para criptografar dados em repouso e como os dados são criptografados usando o protocolo Transport Layer Security (TLS) em trânsito.

Criptografia em repouso

No Amazon MWAA, dados em repouso são dados que o serviço salva em mídia persistente.

Você pode usar uma chave pertencente à AWS para criptografia de dados em repouso ou, opcionalmente, fornecer uma chave gerenciada pelo cliente para criptografia adicional ao criar um ambiente. Se você optar por usar uma chave KMS gerenciada pelo cliente, ela precisará estar na mesma conta dos outros recursos e serviços da AWS que você estiver usando com seu ambiente.

Para usar uma chave do KMS gerenciada pelo cliente, você deve anexar a instrução de política exigida para o acesso do CloudWatch à sua política de chave. Quando você usa uma chave KMS gerenciada pelo cliente para seu ambiente, o Amazon MWAA atribui quatro concessões em seu nome. Para obter mais informações sobre as concessões que o Amazon MWAA atribui a uma chave KMS gerenciada pelo cliente, consulte Chaves gerenciadas pelo cliente para criptografia de dados.

Se você não especificar uma chave do KMS gerenciada pelo cliente, por padrão, o Amazon MWAA usará uma chave KMS pertencente à AWS para criptografar e descriptografar os dados. Recomendamos usar uma chave KMS pertencente à AWS para gerenciar a criptografia de dados no Amazon MWAA.

nota

Você paga pelo armazenamento e uso de chaves KMS pertencentes à AWS ou gerenciadas pelo cliente no Amazon MWAA. Para obter mais informações, consulte Preços do AWS KMS.

Artefatos de criptografia

Você especifica os artefatos de criptografia usados para criptografia em repouso especificando uma chave pertencente à AWS ou uma chave gerenciada pelo cliente ao criar seu ambiente do Amazon MWAA. O Amazon MWAA adiciona as concessões necessárias à sua chave especificada.

Amazon S3: os dados do Amazon S3 são criptografados no nível do objeto usando criptografia do lado do servidor (SSE). A criptografia e a descriptografia do Amazon S3 ocorrem no bucket do Amazon S3 onde seu código DAG e os arquivos de suporte são armazenados. Os objetos são criptografados quando são carregados para o Amazon S3 e descriptografados quando são baixados para seu ambiente do Amazon MWAA. Por padrão, se você estiver usando uma chave KMS gerenciada pelo cliente, o Amazon MWAA a usará para ler e descriptografar os dados no seu bucket do Amazon S3.

CloudWatch Logs: se você estiver usando uma chave KMS pertencente à AWS, os logs do Apache Airflow enviados para o CloudWatch Logs serão criptografados usando SSE com a chave KMS pertencente à AWS do CloudWatch Logs. Se você estiver usando uma chave KMS gerenciada pelo cliente, será preciso adicionar uma política de chave à sua chave KMS para permitir que o CloudWatch Logs use sua chave.

Amazon SQS: o Amazon MWAA cria uma fila do Amazon SQS para seu ambiente. O Amazon MWAA manipula a criptografia de dados transferidos de e para a fila usando SSE com uma chave KMS pertencente à AWS ou uma chave KMS gerenciada pelo cliente que você especificar. Você deve adicionar permissões do Amazon SQS ao seu perfil de execução, independentemente de estar usando uma chave KMS pertencente à AWS ou gerenciada pelo cliente.

Aurora PostgreSQL: o Amazon MWAA cria um cluster PostgreSQL para seu ambiente. O Aurora PostgreSQL criptografa o conteúdo com uma chave KMS pertencente à AWS ou gerenciada pelo cliente usando SSE. Se você estiver usando uma chave KMS gerenciada pelo cliente, o Amazon RDS adiciona pelo menos duas concessões à chave: uma para o cluster e outra para a instância do banco de dados. O Amazon RDS pode criar concessões adicionais se você optar por usar sua chave KMS gerenciada pelo cliente em vários ambientes. Para obter mais informações, consulte Proteção de dados no Amazon RDS.

Criptografia em trânsito

Os dados em trânsito são chamados de dados que podem ser interceptados enquanto viajam pela rede.

O Transport Layer Security (TLS) criptografa os objetos do Amazon MWAA em trânsito entre os componentes do Apache Airflow do seu ambiente e outros serviços da AWS que se integram ao Amazon MWAA, como o Amazon S3. Para obter mais informações sobre a criptografia do Amazon S3, consulte Proteger dados com criptografia.