Concessões Etapa 1: criar uma chave gerenciada pelo cliente Etapa 2: especificar uma chave gerenciada pelo cliente Etapa 3: acessar dados de outros serviços Contexto de criptografia Monitorar suas chaves de criptografia Saiba mais

Criptografia em repouso

Por padrão, o Amazon Managed Service for Prometheus fornece automaticamente a criptografia em repouso e faz isso AWS usando chaves de criptografia próprias.

AWS chaves próprias — O Amazon Managed Service for Prometheus usa essas chaves para criptografar automaticamente os dados enviados para o seu espaço de trabalho. Você não pode visualizar, gerenciar ou usar chaves AWS próprias nem auditar seu uso. No entanto, não é necessário tomar nenhuma medida nem alterar qualquer programa para proteger as chaves que criptografam seus dados. Para obter mais informações, consulte AWS owned keys no Guia do Desenvolvedor do AWS Key Management Service .

A criptografia de dados em repouso ajuda a reduzir a sobrecarga operacional e a complexidade da proteção de dados confidenciais do cliente, como informações de identificação pessoal. Isso permite que você crie aplicações seguras que atendam aos rigorosos requisitos regulatórios e de conformidade de criptografia.

Como alternativa, é possível usar uma chave gerenciada pelo cliente ao criar o espaço de trabalho:

Chaves gerenciadas pelo cliente: o Amazon Managed Service for Prometheus é compatível com o uso de uma chave simétrica gerenciada pelo cliente que você cria, detém e gerencia para criptografar os dados no espaço de trabalho. Como você tem controle total dessa criptografia, é possível realizar tarefas como:
- Estabelecer e manter as políticas de chave
- Estabelecer e manter subsídios e IAM policies
- Habilitar e desabilitar políticas de chaves
- Alternar os materiais de criptografia de chave
- Adicionar etiquetas
- Criar réplicas de chaves
- Chaves de agendamento para exclusão
Para obter mais informações, consulte chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service .

Escolha se deseja usar as chaves gerenciadas pelo cliente ou as chaves AWS próprias com cuidado. Os espaços de trabalho criados com chaves gerenciadas pelo cliente não podem ser convertidos para usar chaves AWS próprias posteriormente (e vice-versa).

nota

O Amazon Managed Service for Prometheus ativa automaticamente a criptografia em repouso AWS usando chaves próprias para proteger seus dados sem nenhum custo.

No entanto, AWS KMS cobranças são cobradas pelo uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte Preços do AWS Key Management Service.

Para obter mais informações sobre AWS KMS, consulte O que é AWS Key Management Service?

nota

Os espaços de trabalho criados com chaves gerenciadas pelo cliente não podem usar coletores gerenciados pela AWS para ingestão.

Como o Amazon Managed Service for Prometheus usa subsídios em AWS KMS

O Amazon Managed Service for Prometheus exige três concessões para usar a chave gerenciada pelo cliente.

Quando você cria um espaço de trabalho do Amazon Managed Service para Prometheus criptografado com uma chave gerenciada pelo cliente, o Amazon Managed Service for Prometheus cria as três concessões em seu nome enviando solicitações para. CreateGrant AWS KMS As concessões AWS KMS são usadas para dar ao Amazon Managed Service for Prometheus acesso à chave KMS em sua conta, mesmo quando não são chamadas diretamente em seu nome (por exemplo, ao armazenar dados de métricas que foram extraídos de um cluster do Amazon EKS).

O Amazon Managed Service for Prometheus exige as concessões para usar a chave gerenciada pelo cliente para as seguintes operações internas:

Envie DescribeKeysolicitações AWS KMS para verificar se a chave KMS simétrica gerenciada pelo cliente fornecida ao criar um espaço de trabalho é válida.
Envie GenerateDataKeysolicitações AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente.
Envie solicitações de descriptografia para AWS KMS descriptografar as chaves de dados criptografadas para que elas possam ser usadas para criptografar seus dados.

O Amazon Managed Service for Prometheus cria três concessões para a chave que permitem que AWS KMS o Amazon Managed Service for Prometheus use a chave em seu nome. É possível remover o acesso à chave alterando a política de chaves, desabilitando a chave ou revogando a concessão. É necessário entender as consequências dessas ações antes de executá-las. Isso pode causar perda de dados no espaço de trabalho.

Se você remover o acesso a qualquer uma das concessões de alguma forma, o Amazon Managed Service for Prometheus não poderá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, nem armazenar novos dados enviados para o espaço de trabalho, o que afetará as operações que dependem desses dados. Novos dados enviados para o espaço de trabalho não estarão acessíveis e poderão ser perdidos permanentemente.

Atenção

Se você desabilitar a chave ou remover o acesso do Amazon Managed Service for Prometheus na política de chaves, os dados do espaço de trabalho não estarão mais acessíveis. Novos dados enviados para o espaço de trabalho não estarão acessíveis e poderão ser perdidos permanentemente.

É possível acessar os dados do espaço de trabalho e começar a receber novos dados novamente restaurando o acesso à chave do Amazon Managed Service for Prometheus.
Se você revogar uma concessão, ela não poderá ser recriada e os dados no espaço de trabalho serão perdidos permanentemente.

Etapa 1: criar uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console, ou o. AWS KMS APIs A chave não precisa estar na mesma conta do espaço de trabalho do Amazon Managed Service for Prometheus, desde que você forneça o acesso correto por meio da política, conforme descrito abaixo.

Para criar uma chave simétrica gerenciada pelo cliente

Siga as etapas de Criar uma chave simétrica gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service .

Política de chave

As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, você pode especificar uma política de chaves. Para obter mais informações, consulte Managing access to customer managed keys (Administrando o acesso a chaves gerenciadas pelo cliente) no Guia do desenvolvedor do AWS Key Management Service .

Para usar a chave gerenciada pelo cliente com os espaços de trabalho do Amazon Managed Service for Prometheus, as seguintes operações de API deverão ser permitidas na política de chave:

kms:CreateGrant: Adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma chave do KMS especificada, que permite o acesso às operações de concessão exigidas pelo Amazon Managed Service for Prometheus. Para obter mais informações, consulte Uso de concessões no Guia do desenvolvedor do AWS Key Management Service .

Com isso, o Amazon Managed Service for Prometheus pode:
- Ligar para GenerateDataKey para gerar uma chave de dados criptografada e armazená-la, porque a chave de dados não é usada imediatamente para criptografar.
- Ligar para Decrypt para usar a chave de dados criptografada armazenada para acessar os dados criptografados.
kms:DescribeKey: fornece os detalhes da chave gerenciada pelo cliente para permitir que o Amazon Managed Service for Prometheus valide a chave.

Veja a seguir exemplos de declarações de política que você pode adicionar ao Amazon Managed Service for Prometheus:


  "Statement" : [ 
    {
      "Sid" : "Allow access to Amazon Managed Service for Prometheus principal within your account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "aps.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators - not required for Amazon Managed Service for Prometheus",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    <other statements needed for other non-Amazon Managed Service for Prometheus scenarios>
  ]

Para obter mais informações sobre specifying permissions in a policy (especificações de permissões em uma política), consulte o Guia do desenvolvedor do AWS Key Management Service .
Para obter mais informações sobre solução de problemas de acesso à chave, consulte o Guia do Desenvolvedor do AWS Key Management Service .

Etapa 2: especificar chave gerenciada pelo cliente para o Amazon Managed Service for Prometheus

Ao criar um espaço de trabalho, você pode especificar a chave gerenciada pelo cliente inserindo um ARN da chave do KMS, que o Amazon Managed Service for Prometheus usa para criptografar os dados armazenados pelo espaço de trabalho.

Etapa 3: acessar dados de outros serviços, como o Amazon Managed Grafana

Esta etapa é opcional; só é necessária se você precisar acessar seus dados do Amazon Managed Service for Prometheus de outro serviço.

Seus dados criptografados não podem ser acessados por outros serviços, a menos que eles também tenham acesso para usar a AWS KMS chave. Por exemplo, se você quiser usar o Amazon Managed Grafana para criar um painel ou um alerta sobre seus dados, você deve conceder ao Amazon Managed Grafana acesso à chave.

Para conceder ao Amazon Managed Grafana acesso à chave gerenciada pelo cliente

Na sua lista de espaços de trabalho do Amazon Managed Grafana, selecione o nome do espaço de trabalho que você deseja que tenha acesso ao Amazon Managed Service for Prometheus. Isso mostra informações resumidas sobre seu espaço de trabalho do Amazon Managed Grafana.
Anote o nome do perfil do IAM usado pelo seu espaço de trabalho. O nome deve estar no formato AmazonGrafanaServiceRole-<unique-id>. O console mostra o ARN completo do perfil. Especifique esse nome no console do AWS KMS em uma etapa posterior.
Na sua lista de chaves do AWS KMS gerenciadas pelo cliente, escolha aquela que você usou durante a criação do seu espaço de trabalho do Amazon Managed Service for Prometheus. Isso abre a página de detalhes da configuração da chave.
Ao lado de Usuários de chaves, selecione o botão Adicionar.
Na lista de nomes, escolha o perfil do IAM do Amazon Managed Grafana que você anotou anteriormente. Para facilitar a localização, é possível pesquisar pelo nome também.
Selecione Adicionar para adicionar o perfil do IAM à lista de usuários de chaves.

Seu espaço de trabalho do Amazon Managed Grafana agora pode acessar os dados no seu espaço de trabalho do Amazon Managed Service for Prometheus. Você pode adicionar outros usuários ou perfis aos usuários de chaves para permitir que outros serviços acessem seu espaço de trabalho.

Contexto de criptografia do Amazon Managed Service for Prometheus

Um contexto de criptografia é um conjunto opcional de pares chave-valor que pode conter informações contextuais adicionais sobre os dados.

AWS KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação.

Contexto de criptografia do Amazon Managed Service for Prometheus

O Amazon Managed Service for Prometheus usa o mesmo contexto de criptografia em AWS KMS todas as operações criptográficas, onde a chave aws:amp:arn está e o valor é o Amazon Resource Name (ARN) do espaço de trabalho.


"encryptionContext": {
    "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
}

Uso do contexto de criptografia para monitoramento

Ao usar uma chave simétrica gerenciada pelo cliente para criptografar os dados do espaço de trabalho, você também pode utilizar o contexto de criptografia em registros de auditoria e logs para identificar como a chave gerenciada pelo cliente está sendo utilizada. O contexto de criptografia também aparece nos registros gerados pelo AWS CloudTrail ou Amazon CloudWatch Logs.

Uso do contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente

Você pode usar o contexto de criptografia nas políticas de chaves e políticas do IAM como conditions e controlar o acesso à sua chave simétrica gerenciada pelo cliente. Você também pode usar restrições no contexto de criptografia em uma concessão.

O Amazon Managed Service for Prometheus utiliza uma restrição de contexto de criptografia em concessões para controlar o acesso à chave gerenciada pelo cliente na conta ou região. A restrição de concessão exige que as operações permitidas pela concessão usem o contexto de criptografia especificado.

Veja a seguir exemplos de declarações de políticas de chave para conceder acesso a uma chave gerenciada pelo cliente para um contexto de criptografia específico. A condição nesta declaração de política exige que as concessões tenham uma restrição de contexto de criptografia que especifique o contexto de criptografia.


{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},
{
     "Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
         "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
          }
     }
}

Monitorar as chaves de criptografia do Amazon Managed Service for Prometheus

Ao usar uma chave gerenciada pelo AWS KMS cliente com seus espaços de trabalho do Amazon Managed Service for Prometheus, você pode usar AWS CloudTrailo Amazon Logs para rastrear solicitações enviadas pelo CloudWatch Amazon Managed Service for Prometheus. AWS KMS

Os exemplos a seguir são AWS CloudTrail eventos paraCreateGrant, GenerateDataKeyDecrypt, e DescribeKey para monitorar operações do KMS chamadas pelo Amazon Managed Service para que o Prometheus acesse dados criptografados pela chave gerenciada pelo cliente:

CreateGrant

Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seu espaço de trabalho, o Amazon Managed Service for Prometheus envia três CreateGrant solicitações em seu nome para acessar a chave KMS que você especificou. As concessões que o Amazon Managed Service for Prometheus cria são específicas do recurso associado à chave gerenciada pelo cliente do AWS KMS .

O evento de exemplo a seguir registra uma operação CreateGrant:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "TESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE-KEY-ID1",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "TESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "aps.region.amazonaws.com",
        "operations": [
            "GenerateDataKey",
            "Decrypt",
            "DescribeKey"
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "granteePrincipal": "aps.region.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

GenerateDataKey

Quando você ativa uma chave gerenciada pelo AWS KMS cliente para seu espaço de trabalho, o Amazon Managed Service for Prometheus cria uma chave exclusiva. Ele envia uma GenerateDataKey solicitação AWS KMS que especifica a chave gerenciada pelo AWS KMS cliente para o recurso.

O evento de exemplo a seguir registra a operação GenerateDataKey:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}

Decrypt

Quando uma consulta é gerada em um espaço de trabalho criptografado, o Amazon Managed Service for Prometheus chama a operação Decrypt para usar a chave de dados criptografada armazenada para acessar os dados criptografados.

O evento de exemplo a seguir registra a operação Decrypt:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:10:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}

DescribeKey

O Amazon Managed Service for Prometheus usa a operação DescribeKey para verificar se a chave gerenciada pelo cliente do AWS KMS associada ao espaço de trabalho existe na conta e na região.

O evento de exemplo a seguir registra a operação DescribeKey:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "TESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE-KEY-ID1",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "TESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

Saiba mais

Os recursos a seguir fornecem mais informações sobre a criptografia de dados em pausa.

Para obter mais informações sobre conceitos básicos do AWS Key Management Service, consulte o Guia do desenvolvedor do AWS Key Management Service .
Para obter mais informações sobre as melhores práticas de segurança para AWS Key Management Service, consulte o Guia do AWS Key Management Service desenvolvedor.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Dados coletados pelo Amazon Managed Service for Prometheus

Gerenciamento de Identidade e Acesso