Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Protección de datos en Amazon Cognito
El modelo de responsabilidad AWS compartida modelo
Con fines de protección de datos, le recomendamos que proteja las credenciales de las AWS cuentas y configure cuentas de usuario individuales con AWS Identity and Access Management (IAM). De esta manera, cada usuario recibe únicamente los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de las siguientes maneras:
-
Utilice autenticación multifactor (MFA) en cada cuenta.
-
Utilice SSL/TLS para comunicarse con los recursos. AWS
-
Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail
-
Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados de AWS los servicios.
-
Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar y proteger los datos personales almacenados en Amazon S3.
Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campo Nombre. Esto incluye cuando trabaja con Amazon Cognito u otros AWS servicios mediante la consola, la API o AWS los AWS CLI SDK. Es posible que cualquier dato que ingrese en Amazon Cognito o en otros servicios se incluya en los registros de diagnóstico. Cuando proporcione una URL a un servidor externo, no incluya información de credenciales en la URL para validar la solicitud para ese servidor.
Cifrado de datos
El cifrado de datos normalmente se divide en dos categorías: el cifrado en reposo y el cifrado en tránsito.
Cifrado en reposo
Los datos que se encuentran dentro de Amazon Cognito se cifran en reposo de acuerdo con los estándares del sector.
Cifrado en tránsito
Como servicio gestionado, Amazon Cognito está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte Seguridad AWS en la nube
Las llamadas a la API AWS publicadas se utilizan para acceder a Amazon Cognito a través de la red. Los clientes deben admitir lo siguiente:
-
Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
-
Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Los grupos de usuarios y grupos de identidades de Amazon Cognito tienen operaciones de API autenticadas por IAM, no autenticadas y autorizadas por token. Las operaciones de API no autenticadas y autorizadas por token están destinadas a ser utilizadas por sus clientes, los usuarios finales de la aplicación. Las operaciones de API no autenticadas y autorizadas por token están cifradas en reposo y en tránsito. Para obtener más información, consulte Operaciones de API autenticadas y no autenticadas de los grupos de usuarios de Amazon Cognito.
nota
Amazon Cognito cifra el contenido a nivel interno y no admite las claves proporcionadas por el cliente.
