Protección de datos en AWS Clean Rooms - AWS Clean Rooms
Cifrado en reposoCifrado en tránsitoCifrado de datos subyacentesPolítica de claves

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en AWS Clean Rooms

El modelo de responsabilidad AWS compartida modelo se aplica a la protección de datos en AWS Clean Rooms. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS .

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utiliza la autenticación multifactor (MFA) en cada cuenta.

  • Utilice SSL/TLS para comunicarse con los recursos. AWS Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.

  • Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Cómo trabajar con CloudTrail senderos en la Guía del AWS CloudTrail usuario.

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

  • Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.

  • Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta Estándar de procesamiento de la información federal (FIPS) 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con AWS Clean Rooms o Servicios de AWS utiliza la consola, la API o AWS CLI AWS SDKs Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya la información de las credenciales en la URL para validar la solicitud para ese servidor.

Cifrado en reposo

AWS Clean Rooms siempre cifra todos los metadatos del servicio en reposo sin necesidad de ninguna configuración adicional. Este cifrado es automático cuando se utiliza AWS Clean Rooms.

Clean Rooms ML cifra todos los datos almacenados en el servicio en reposo. AWS KMS Si decide proporcionar su propia clave KMS, el contenido de sus modelos similares y de los trabajos de generación de segmentos similares se cifra en reposo con su clave KMS.

Cuando se utilizan modelos de aprendizaje automático AWS Clean Rooms personalizados, el servicio cifra todos los datos almacenados en reposo. AWS KMS AWS Clean Rooms admite el uso de claves simétricas administradas por el cliente que usted crea, posee y administra para cifrar los datos en reposo. Si no se especifican las claves administradas por el cliente, Claves propiedad de AWS se utilizan de forma predeterminada.

AWS Clean Rooms utiliza concesiones y políticas clave para acceder a las claves gestionadas por el cliente. Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, AWS Clean Rooms no podrá acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si intenta crear un modelo entrenado a partir de un canal de entrada de aprendizaje automático cifrado al que no AWS Clean Rooms se puede acceder, la operación devolverá un ValidationException error.

nota

Puede utilizar las opciones de cifrado de Amazon S3 para proteger sus datos en reposo.

Para obtener más información, consulte Especificación del cifrado de Amazon S3 en la Guía del usuario de Amazon S3.

Cuando se utiliza una tabla de mapeo de ID interna AWS Clean Rooms, el servicio cifra todos los datos almacenados en reposo. AWS KMS Si decides proporcionar tu propia clave de KMS, el contenido de la tabla de mapeo de ID se cifra en reposo con tu clave de KMS mediante AWS Entity Resolution. Para obtener más información sobre los permisos necesarios para trabajar con cifrados con un flujo de trabajo de asignación de ID, consulte Crear un rol de trabajo del flujo de trabajo para AWS Entity Resolution en la Guía del usuario de AWS Entity Resolution .

Cifrado en tránsito

AWS Clean Rooms utiliza Transport Layer Security (TLS) para el cifrado en tránsito. La comunicación siempre AWS Clean Rooms se realiza a través de HTTPS, por lo que sus datos siempre se cifran en tránsito, independientemente de si están almacenados en Amazon S3, Amazon Athena o Snowflake. Esto incluye todos los datos en tránsito cuando se utiliza Clean Rooms ML.

Cifrado de datos subyacentes

Para obtener más información sobre cómo cifrar sus datos subyacentes, consulte Computación criptográfica para Clean Rooms.

Política de claves

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administrar el acceso a las claves administradas por el cliente en la AWS Key Management Service Guía para desarrolladores.

Para utilizar la clave gestionada por el cliente con los modelos de aprendizaje automático AWS Clean Rooms personalizados, la política de claves debe permitir las siguientes operaciones de API:

  • kms:DescribeKey— Proporciona los detalles de la clave gestionada por el cliente AWS Clean Rooms para permitir su validación.

  • kms:Decrypt— Proporciona acceso AWS Clean Rooms para descifrar los datos cifrados y utilizarlos en tareas relacionadas.

  • kms:CreateGrant- Clean Rooms ML cifra las imágenes de formación e inferencia inactivas en Amazon ECR mediante la creación de subvenciones para Amazon ECR. Para obtener más información, consulte Encryption at Rest in Amazon ECR. Clean Rooms ML también utiliza Amazon SageMaker AI para realizar trabajos de formación e inferencia, y crea subvenciones para que SageMaker AI cifre los volúmenes de Amazon EBS adjuntos a las instancias, así como los datos de salida en Amazon S3. Para obtener más información, consulte Proteger los datos en reposo mediante el cifrado en Amazon SageMaker AI.

  • kms:GenerateDataKey- Clean Rooms ML cifra los datos en reposo almacenados en Amazon S3 mediante el cifrado del lado del servidor con. AWS KMS keys Para obtener más información, consulte Uso del cifrado del lado del servidor con AWS KMS keys (SSE-KMS) en Amazon S3.

Los siguientes son ejemplos de declaraciones de políticas que puede añadir a los AWS Clean Rooms siguientes recursos:

Canal de entrada ML

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Sid": "Allow access to principals authorized to use Clean Rooms ML",
        "Effect": "Allow",
        "Principal": { 
            "AWS": "arn:aws:iam::444455556666:role/ExampleRole" 
        },
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "cleanrooms-ml.region.amazonaws.com"
            }
        }
    },
    {
        "Sid": "Allow access to Clean Rooms ML service principal",
        "Effect": "Allow",
        "Principal": {
            "Service": "cleanrooms-ml.amazonaws.com"
        },
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey",
            "kms:Decrypt"
        ],
        "Resource": "*"
    }
  ]
}

Trabajo de modelo entrenado o trabajo de inferencia de modelo entrenado

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Sid": "Allow access to principals authorized to use Clean Rooms ML",
        "Effect": "Allow",
        "Principal": { "AWS": "arn:aws:iam::444455556666:role/ExampleRole" },
        "Action": [
            "kms:GenerateDataKey",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:Decrypt"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "cleanrooms-ml.region.amazonaws.com"
            }
            "ForAllValues:StringEquals": {
                "kms:GrantOperations": [
                    "Decrypt",
                        "Encrypt",
                        "GenerateDataKeyWithoutPlaintext",
                        "ReEncryptFrom",
                        "ReEncryptTo",
                        "CreateGrant",
                        "DescribeKey",
                        "RetireGrant",
                        "GenerateDataKey"
                ]
              },
            "BoolIfExists": {
              "kms:GrantIsForAWSResource": true
            }
        }
    },
    {
        "Sid": "Allow access to Clean Rooms ML service principal",
        "Effect": "Allow",
        "Principal": {
            "Service": "cleanrooms-ml.amazonaws.com"
        },
        "Action": [
            "kms:GenerateDataKey",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:Decrypt"
        ],
        "Resource": "*",
        "Condition": {
            "ForAllValues:StringEquals": {
                "kms:GrantOperations": [
                        "Decrypt",
                        "Encrypt",
                        "GenerateDataKeyWithoutPlaintext",
                        "ReEncryptFrom",
                        "ReEncryptTo",
                        "CreateGrant",
                        "DescribeKey",
                        "RetireGrant",
                        "GenerateDataKey"
                ]
              }
        }
    }
  ]
}

Clean Rooms ML no permite especificar el contexto de cifrado del servicio o el contexto de origen en las políticas clave administradas por el cliente. Los clientes pueden ver el contexto de cifrado utilizado internamente por el servicio CloudTrail.