Protección de datos en AWS AppFabric - AWS AppFabric
Cifrado en reposoCifrado en tránsitoAdministración de clavesPolítica de claves¿Cómo se AppFabric utilizan las subvenciones en AWS KMSSupervisar tus claves de cifrado para AppFabric

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en AWS AppFabric

El modelo de responsabilidad AWS compartida modelo se aplica a la protección de datos en AWS AppFabric. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Usted es responsable de mantener el control sobre el contenido alojado en esta infraestructura. Usted también es responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS .

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utilice la autenticación multifactor (MFA) en cada cuenta.

  • Utilice SSL/TLS para comunicarse con los recursos. AWS Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.

  • Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

  • Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.

  • Si necesita módulos criptográficos validados por FIPS 140-2 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-2.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como, por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja AppFabric o Servicios de AWS utiliza la consola, la API o los SDK. AWS CLI AWS Cualquier dato que ingrese en etiquetas o campos de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

nota

Para obtener más información sobre la protección de datos en lo que respecta a AppFabric la seguridad, consulteProcesamiento de datos.

Cifrado en reposo

AWS AppFabric admite el cifrado en reposo, una función de cifrado del lado del servidor que cifra de AppFabric forma transparente todos los datos relacionados con los paquetes de aplicaciones cuando se conservan en el disco y los descifra cuando se accede a los datos. De forma predeterminada, AppFabric cifra los datos mediante un from (). Clave propiedad de AWS AWS Key Management Service AWS KMS También puede optar por cifrar sus datos con su propia clave gestionada por el cliente desde. AWS KMS

Al eliminar una agrupación de aplicaciones, todos sus metadatos se eliminan de forma permanente.

Cifrado en tránsito

Al configurar un paquete de aplicaciones, puede elegir una clave gestionada por el cliente Clave propiedad de AWS o una clave gestionada por el cliente. Al recopilar y normalizar los datos para una ingesta de registros de auditoría, los AppFabric almacena temporalmente en un bucket intermedio de Amazon Simple Storage Service (Amazon S3) y los cifra con esta clave. Este bucket intermedio se elimina después de 30 días y está sujeto a una política de ciclo de vida de bucket.

AppFabric protege todos los datos en tránsito mediante TLS 1.2 y firma las solicitudes de API con Signature V4. Servicios de AWS AWS

Administración de claves

AppFabric admite el cifrado de datos con una Clave propiedad de AWS o varias claves gestionadas por el cliente. Le recomendamos que use una clave gestionada por el cliente, ya que esta opción le permite controlar por completo sus datos cifrados. Al elegir una clave gestionada por el cliente, AppFabric adjunta una política de recursos a la clave gestionada por el cliente que le concede acceso a la clave gestionada por el cliente.

Clave administrada por clientes

Para crear una clave gestionada por el cliente, siga los pasos para Creación de claves de KMS de cifrado simétrico que encontrará en la Guía del desarrollador de AWS KMS .

Política de claves

Las políticas de claves controlan el acceso a las claves administradas por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener información sobre cómo modificar una política de claves, consulte Creación de una política de claves en la Guía del desarrollador de AWS KMS .

Para usar una clave administrada por el cliente AppFabric, el usuario o rol AWS Identity and Access Management (de IAM) que crea AppFabric los recursos debe tener permiso para usar la clave administrada por el cliente. Le recomendamos que cree una clave que utilice únicamente con AppFabric y añada a sus AppFabric usuarios como usuarios de la clave. Este método limita el alcance del acceso a sus datos. Sus usuarios necesitarán los siguientes permisos:

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:Decrypt

La AWS KMS consola le guía a través de la creación de una clave con la política de claves adecuada. Para obtener más información acerca de las políticas de claves, consulte Políticas de claves en AWS KMS en la Guía para desarrolladores de AWS KMS .

A continuación se muestra un ejemplo de política de claves que permite:

  • El control Usuario raíz de la cuenta de AWS total de la clave.

  • Los usuarios pueden AppFabric utilizar su clave gestionada por el cliente con AppFabric.

  • Una política de claves para la configuración de una agrupación de aplicaciones en us-east-1.

{
    "Id": "key-consolepolicy-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow access for key administrators",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
            "Action": ["kms:*"],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key_ID"
        },
        {
            "Sid": "Allow read-only access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow access to principals authorized to use AWS AppFabric",
            "Effect": "Allow",
            "Principal": {"AWS": "IAM-role/user-creating-appfabric-resources"},
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListAliases"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "appfabric.us-east-1.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        }
    ]
}

¿Cómo se AppFabric utilizan las subvenciones en AWS KMS

AppFabric requiere una concesión para utilizar la clave gestionada por el cliente. Para obtener más información, consulte Concesiones de AWS KMS en la Guía para desarrolladores de AWS KMS .

Al crear un paquete de aplicaciones, AppFabric crea una subvención en tu nombre enviando una CreateGrant solicitud a AWS KMS. Las subvenciones AWS KMS se utilizan para dar AppFabric acceso a una AWS KMS clave de la cuenta de un cliente. AppFabric requiere que la concesión utilice la clave gestionada por el cliente para las siguientes operaciones internas:

  • Envíe GenerateDataKey solicitudes AWS KMS para generar claves de datos cifradas por su clave gestionada por el cliente.

  • Envíe Decrypt solicitudes AWS KMS para descifrar las claves de datos cifradas para que puedan usarse para cifrar sus datos y para descifrar los tokens de acceso a las aplicaciones en tránsito.

  • Envíe Encrypt solicitudes para cifrar los tokens de acceso AWS KMS a las aplicaciones en tránsito.

A continuación, se muestra un ejemplo de una concesión.

{
  "KeyId": "arn:aws:kms:us-east-1:111122223333:key/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "GrantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
  "Name": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "CreationDate": "2022-10-11T20:35:39+00:00",
  "GranteePrincipal": "appfabric.us-east-1.amazonaws.com",
  "RetiringPrincipal": "appfabric.us-east-1.amazonaws.com",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "Operations": [
    "Decrypt",
    "Encrypt",
    "GenerateDataKey"
  ],
  "Constraints": {
    "EncryptionContextSubset": {
      "appBundleArn": "arn:aws:fabric:us-east-1:111122223333:appbundle/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
    }
  }
},

Cuando eliminas un paquete de aplicaciones, AppFabric se retiran las subvenciones emitidas en tu clave gestionada por el cliente.

Supervisar tus claves de cifrado para AppFabric

Cuando utilizas claves gestionadas por el AWS KMS cliente con AppFabric, puedes utilizar AWS CloudTrail los registros para realizar un seguimiento de las solicitudes que se AppFabric envían a AWS KMS.

A continuación se muestra un ejemplo de un CloudTrail evento registrado cuando se AppFabric utiliza como clave gestionada CreateGrant por el cliente.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser",
        "arn": "arn:aws:sts::111122223333:assumed-role/AssumedRole/SampleUser",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/AssumedRole",
                "accountId": "111122223333",
                "userName": "SampleUser"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-04-28T14:01:33Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-04-28T14:05:48Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "appfabric.amazonaws.com",
    "userAgent": "appfabric.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "appfabric.us-east-1.amazonaws.com",
        "constraints": {
            "encryptionContextSubset": {
                "appBundleArn": "arn:aws:appfabric:us-east-1:111122223333:appbundle/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
            }
        },
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLEID",
        "retiringPrincipal": "appfabric.us-east-1.amazonaws.com",
        "operations": [
            "Encrypt",
            "Decrypt",
            "GenerateDataKey"
        ]
    },
    "responseElements": {
        "grantId": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/KEY_ID"
    },
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/key_ID"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_256_GCM_SHA384",
        "clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
    }
}