As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia em repouso com chaves gerenciadas pelo cliente
O Resilience Hub de próxima geração fornece criptografia por padrão para proteger dados confidenciais de clientes em repouso usando Chaves pertencentes à AWS.
-
O Resilience Hub de próxima geração usa essas chaves por padrão para criptografar automaticamente dados confidenciais. Você não pode visualizar, gerenciar Chaves pertencentes à AWS, usar ou auditar seu uso. No entanto, não é necessário realizar nenhuma ação nem alterar nenhum programa para proteger as chaves que criptografam os dados. Para saber mais, consulte https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk no Guia do desenvolvedor do AWS Key Management Service .
Embora não seja possível desativar essa camada de criptografia ou selecionar um tipo de criptografia alternativo, você pode adicionar uma segunda camada de criptografia especificando uma chave gerenciada pelo cliente ao criar um recurso de serviço:
-
Chaves gerenciadas pelo cliente O Resilience Hub de próxima geração suporta o uso de uma chave gerenciada pelo cliente com criptografia simétrica que você cria, possui e gerencia. Como você tem controle total dessa camada de criptografia, você pode realizar tarefas como:
Estabelecer e manter as políticas de chave
Estabelecer e manter subsídios e IAM policies
Habilitar e desabilitar políticas de chaves
Alternar os materiais de criptografia de chave
Adicionar etiquetas
Criar réplicas de chaves
Chaves de agendamento para exclusão
Para obter mais informações, consulte Chaves mestras do cliente (CMKs) no AWS Key Management Service Guia do desenvolvedor.
A tabela a seguir resume como o Resilience Hub de próxima geração criptografa dados confidenciais.
| Tipo de dados | AWS criptografia de chave própria | Criptografia de chave gerenciada pelo cliente (opcional) |
|---|---|---|
Descrições de serviços, sistemas e políticas de resiliência. |
Habilitado | Habilitado |
Avaliação encontrando nomes, descrições, raciocínio e comentários. |
Habilitado | Habilitado |
Descrições de recomendações e mudanças sugeridas associadas às descobertas. |
Habilitado | Habilitado |
Nomes e descrições das funções do serviço. |
Habilitado | Habilitado |
Texto de suposição associado às funções do serviço. |
Habilitado | Habilitado |
Descrições da jornada do usuário. |
Habilitado | Habilitado |
Descrições do registro de eventos do serviço. |
Habilitado | Habilitado |
Dados intermediários gerados por fluxos de trabalho de avaliação de agentes, incluindo topologia, configuração de recursos e dados de trabalho armazenados no Amazon S3. |
Habilitado | Habilitado |
Identificadores de recursos Nomes de recursos, ARNs, tipos de recursos e regiões. Os nomes dos recursos são usados em identificadores e no contexto de criptografia e não devem conter dados confidenciais. |
Habilitado | Não compatível |
nota
O Resilience Hub de próxima geração ativa automaticamente a criptografia em repouso Chaves pertencentes à AWS , usando gratuitamente. No entanto, AWS KMS cobranças são cobradas pelo uso de uma chave gerenciada pelo cliente. Para saber mais sobre preços, consulte Preços do AWS Key Management Service
Importante
O Resilience Hub de próxima geração suporta somente chaves KMS de criptografia simétrica. Você não pode usar nenhum outro tipo de chave KMS para criptografar seus recursos do Resilience Hub de próxima geração. Para obter ajuda para determinar se uma chave KMS é uma chave de criptografia simétrica, consulte Identificação de chaves KMS simétricas e assimétricas no Guia do desenvolvedor.AWS Key Management Service
Como o Next Generation Resilience Hub usa subsídios em AWS KMS
O Resilience Hub de próxima geração exige uma concessão para usar sua chave gerenciada pelo cliente durante fluxos de trabalho de avaliação assíncrona.
Quando você cria um serviço com uma chave gerenciada pelo cliente, o Next Generation Resilience Hub cria uma concessão em seu nome enviando uma CreateGrantsolicitação para AWS KMS. A concessão é restrita ao contexto de criptografia do seu serviço e permite somente as seguintes operações:
-
Encrypt— Criptografe campos confidenciais, como descobertas, recomendações e suposições geradas durante os fluxos de trabalho de avaliação. -
Decrypt— Descriptografe dados previamente criptografados durante o processamento da avaliação. -
GenerateDataKey— Gere chaves de dados para criptografar dados de avaliação intermediários armazenados no Amazon S3.
O subsídio é retirado quando você exclui o serviço. Você também pode revogar o acesso à concessão ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, o Resilience Hub de próxima geração não poderá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações da API e os fluxos de trabalho de avaliação que dependem desses dados.
Para operações síncronas de API (como criar ou atualizar um serviço), o Next Generation Resilience Hub usa as permissões do chamador diretamente na chave KMS, sem exigir uma concessão.
Criar uma chave gerenciada pelo cliente
Você pode criar uma chave gerenciada pelo cliente com criptografia simétrica usando as Console de gerenciamento da AWS ou as AWS KMS APIs.
Para criar uma chave gerenciada pelo cliente com criptografia simétrica
Siga as etapas para Criar chaves do KMS de criptografia simétrica no Guia do desenvolvedor do AWS Key Management Service .
Especificação de uma chave gerenciada pelo cliente para o Resilience Hub de próxima geração
Você pode especificar uma chave gerenciada pelo cliente ao criar um serviço, sistema ou política de resiliência. Quando você fornece um ID de chave KMS, o Next Generation Resilience Hub usa essa chave para criptografar todos os dados confidenciais associados ao recurso.
Você pode especificar a chave usando qualquer um dos seguintes identificadores de chave:
ID da chave (por exemplo,
1234abcd-12ab-34cd-56ef-1234567890ab)ARN da chave (por exemplo,)
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890abNome do alias (por exemplo,
alias/my-key)Alias ARN (por exemplo,)
arn:aws:kms:us-west-2:111122223333:alias/my-key
Para especificar uma chave gerenciada pelo cliente, use o kmsKeyId parâmetro ao chamar as operações CreateServiceCreateSystem, ou CreatePolicy da API.
Política de chave
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, você pode especificar uma política de chaves. Para obter mais informações, consulte Gerenciamento do acesso às chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service .
A política principal a seguir permite que o Next Generation Resilience Hub use sua chave. Ele define cada permissão apenas para as operações que o Resilience Hub de próxima geração exige, usando condições de contexto de criptografia para garantir que sua chave só possa ser usada para seus recursos específicos. Substitua CUSTOMER-ACCOUNT-IDCUSTOMER-ROLE,, e REGION por seus valores.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowResilienceHubDescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE" }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "resiliencehub.REGION.amazonaws.com" } } }, { "Sid": "AllowResilienceHubEncryptDecryptForServices", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "resiliencehub.REGION.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:resiliencehub:service-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:service/*" } } }, { "Sid": "AllowResilienceHubEncryptDecryptForSystems", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "resiliencehub.REGION.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:resiliencehub:system-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:system/*" } } }, { "Sid": "AllowResilienceHubEncryptDecryptForPolicies", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "resiliencehub.REGION.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:resiliencehub:policy-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:policy/*" } } }, { "Sid": "AllowResilienceHubCreateGrantForAsyncWorkflows", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "resiliencehub.REGION.amazonaws.com", "kms:GrantConstraintType": "EncryptionContextSubset" }, "StringLike": { "kms:EncryptionContext:aws:resiliencehub:service-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:service/*" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "Encrypt", "Decrypt", "GenerateDataKey" ] } } } ] }
As declarações de política fornecem as seguintes permissões:
-
AllowResilienceHubDescribeKey— Permite que o Resilience Hub de próxima geração valide se sua chave existe e é uma chave de criptografia simétrica quando você a especifica durante a criação do serviço.
-
AllowResilienceHubEncryptDecryptForServices— permite que o Resilience Hub de próxima geração criptografe e descriptografe dados de nível de serviço (descobertas, recomendações, suposições, funções de serviço, eventos e dados de avaliação) durante chamadas síncronas de API. Definiu o escopo de seus recursos de serviço por contexto de criptografia.
-
AllowResilienceHubEncryptDecryptForSystems— Permite que o Resilience Hub de próxima geração criptografe e descriptografe dados em nível de sistema (descrições do sistema e descrições da jornada do usuário) durante chamadas síncronas de API. Definiu o escopo dos recursos do seu sistema por contexto de criptografia.
-
AllowResilienceHubEncryptDecryptForPolicies— Permite que o Resilience Hub de próxima geração criptografe e descriptografe dados em nível de política (descrições de políticas de resiliência) durante chamadas síncronas de API. Definiu o escopo de seus recursos de política por contexto de criptografia.
-
AllowResilienceHubCreateGrantForAsyncWorkflows— Permite que o Resilience Hub de próxima geração crie uma concessão para fluxos de trabalho de avaliação assíncrona. A concessão é restrita somente às operações necessárias (criptografar, descriptografar GenerateDataKey) e deve incluir uma restrição de subconjunto de contexto de criptografia vinculada ao ARN do seu serviço.
Para obter mais informações sobre especificar permissões em uma política, consulte o Guia do desenvolvedor do AWS Key Management Service .
Para obter mais informações sobre solução de problemas de acesso à chave, consulte o Guia do Desenvolvedor do AWS Key Management Service .
Contexto de criptografia do Resilience Hub de próxima geração
Um contexto de criptografia é um conjunto opcional de pares de chave/valor que pode conter informações contextuais adicionais sobre os dados.
AWS KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar dados, você deve incluir o mesmo contexto de criptografia na solicitação.
Contexto de criptografia do Resilience Hub de próxima geração
O Resilience Hub de próxima geração usa as seguintes chaves de contexto de criptografia, dependendo do tipo de recurso:
| Chave de contexto de criptografia | Escopo | Usado para |
|---|---|---|
aws:resiliencehub:service-arn |
Serviço | Descobertas, recomendações, suposições, funções de serviço, dependências, eventos e dados de avaliação |
aws:resiliencehub:system-arn |
Sistema | Descrições do sistema e descrições da jornada do usuário |
aws:resiliencehub:policy-arn |
Política | Descrições da política de resiliência |
Exemplo de contexto de criptografia para uma operação em nível de serviço:
"encryptionContext": { "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123" }
Uso do contexto de criptografia para monitoramento
Ao usar uma chave gerenciada pelo cliente com criptografia simétrica para criptografar seus dados, você pode usar o contexto de criptografia nos registros e registros de auditoria para identificar como a chave gerenciada pelo cliente está sendo usada. O contexto de criptografia aparece nos registros gerados por AWS CloudTrail.
Usando contexto de criptografia para controlar o acesso
Você pode usar o contexto de criptografia nas políticas de chaves e nas políticas do IAM conditions para controlar o acesso à sua chave de criptografia simétrica gerenciada pelo cliente. Você também pode usar restrições no contexto de criptografia em uma concessão.
O Resilience Hub de próxima geração usa uma restrição de subconjunto de contexto de criptografia nas concessões para garantir que fluxos de trabalho assíncronos só possam criptografar e descriptografar dados pertencentes ao serviço específico para o qual a concessão foi criada.
Monitorando suas chaves de criptografia para o Resilience Hub de próxima geração
Ao usar uma chave gerenciada pelo cliente com seus recursos do Next Generation Resilience Hub, você pode usá-la AWS CloudTrailpara rastrear solicitações enviadas pelo Next Generation Resilience Hub. AWS KMS
- CreateGrant
-
Quando você cria um serviço com uma chave gerenciada pelo cliente, o Next Generation Resilience Hub envia uma
CreateGrantsolicitação em seu nome para permitir que fluxos de trabalho de avaliação assíncronos usem sua chave. A concessão é específica para o serviço e restringida pelo contexto de criptografia. O Resilience Hub de próxima geração usaRetireGrantpara remover a concessão quando você exclui o serviço.O evento de exemplo a seguir registra a operação
CreateGrant:{ "eventVersion": "1.11", "userIdentity": { "type": "AssumedRole", "principalId": "AROAEXAMPLE:session-name", "arn": "arn:aws:sts::111122223333:assumed-role/YourRole/session-name", "accountId": "111122223333", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAEXAMPLE", "arn": "arn:aws:iam::111122223333:role/YourRole", "accountId": "111122223333", "userName": "YourRole" } }, "invokedBy": "resiliencehub.amazonaws.com" }, "eventTime": "2026-01-15T10:07:22Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "resiliencehub.amazonaws.com", "userAgent": "resiliencehub.amazonaws.com", "requestParameters": { "granteePrincipal": "resiliencehub.amazonaws.com", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "retiringPrincipal": "resiliencehub.amazonaws.com", "operations": [ "Decrypt", "GenerateDataKey", "Encrypt" ], "constraints": { "encryptionContextSubset": { "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123" } } }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "56d4e434-abb6-4dd7-8558-ad38560d03b1", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" } - GenerateDataKey
-
Quando o Resilience Hub de próxima geração criptografa dados usando sua chave gerenciada pelo cliente, ele envia uma
GenerateDataKeysolicitação para gerar uma chave de dados. Isso ocorre durante chamadas de API síncronas (como a criação de um serviço com uma descrição) e fluxos de trabalho de avaliação assíncrona.O evento de exemplo a seguir registra a operação
GenerateDataKey:{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "resiliencehub.amazonaws.com" }, "eventTime": "2026-01-15T11:18:36Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "resiliencehub.amazonaws.com", "userAgent": "resiliencehub.amazonaws.com", "requestParameters": { "numberOfBytes": 32, "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "encryptionContext": { "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123", "aws-crypto-public-key": "AwAnnorjRE+DFQYIuDKjGEvlXwro5Rdiegk8flmq7m0N..." } }, "responseElements": null, "requestID": "c5bedc9b-e6d6-45f8-b121-c9851a3d718a", "eventID": "e839a7ed-e4a9-32a3-b92a-2c7237a40c82", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" } - Decrypt
-
Quando você recupera recursos por meio de operações de API ou quando os fluxos de trabalho de avaliação processam dados armazenados anteriormente, o Next Generation Resilience Hub envia
Decryptsolicitações para descriptografar os dados.O evento de exemplo a seguir registra a operação
Decrypt:{ "eventVersion": "1.11", "userIdentity": { "type": "AssumedRole", "principalId": "AROAEXAMPLE:session-name", "arn": "arn:aws:sts::111122223333:assumed-role/YourRole/session-name", "accountId": "111122223333", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAEXAMPLE", "arn": "arn:aws:iam::111122223333:role/YourRole", "accountId": "111122223333", "userName": "YourRole" } }, "invokedBy": "resiliencehub.amazonaws.com" }, "eventTime": "2026-01-15T11:27:49Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "resiliencehub.amazonaws.com", "userAgent": "resiliencehub.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "encryptionContext": { "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123", "aws-crypto-public-key": "A/9P3BC05WjeQONZR1fBiEqWKEse/Yk1lMxd2VIh2ED5..." } }, "responseElements": null, "requestID": "30f8e9bc-4e0a-4359-8bc3-8278ef42c206", "eventID": "195ef070-c952-4c28-9883-29bca297a08c", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" } - DescribeKey
-
O Resilience Hub de próxima geração envia
DescribeKeysolicitações para verificar se a chave gerenciada pelo cliente associada ao seu serviço existe na conta e na região e se é uma chave de criptografia simétrica válida.O evento de exemplo a seguir registra a operação
DescribeKey:{ "eventVersion": "1.11", "userIdentity": { "type": "AssumedRole", "principalId": "AROAEXAMPLE:session-name", "arn": "arn:aws:sts::111122223333:assumed-role/YourRole/session-name", "accountId": "111122223333", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAEXAMPLE", "arn": "arn:aws:iam::111122223333:role/YourRole", "accountId": "111122223333", "userName": "YourRole" } }, "invokedBy": "resiliencehub.amazonaws.com" }, "eventTime": "2026-01-15T10:07:13Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-west-2", "sourceIPAddress": "resiliencehub.amazonaws.com", "userAgent": "resiliencehub.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "responseElements": null, "requestID": "e427932c-448b-49aa-88e1-b311c27ba753", "eventID": "48c596a5-83c7-4603-b0cf-be0ff2548623", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Saiba mais
Os recursos a seguir fornecem mais informações sobre a criptografia de dados em pausa.
-
Para obter mais informações sobre conceitos básicos do AWS Key Management Service, consulte o Guia do desenvolvedor do AWS Key Management Service .
-
Para obter mais informações sobre as melhores práticas de segurança para AWS Key Management Service, consulte o Guia do AWS Key Management Service desenvolvedor.
