El cifrado de datos en reposo para Amazon DataZone - Amazon DataZone
Cómo DataZone utiliza Amazon las subvenciones en AWS KMSCrear una clave administrada por el clienteEspecificar una clave gestionada por el cliente para Amazon DataZoneContexto DataZone de cifrado de AmazonSupervisión de tus claves de cifrado para Amazon DataZoneCreación de entornos de Data Lake que incluyan catálogos de AWS Glue cifrados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

El cifrado de datos en reposo para Amazon DataZone

El cifrado de los datos en reposo de forma predeterminada ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales. Al mismo tiempo, le permite crear aplicaciones seguras que cumplen con los estrictos requisitos normativos y de conformidad con el cifrado.

Amazon DataZone utiliza claves AWS propias por defecto para cifrar automáticamente los datos en reposo. No puedes ver, gestionar ni auditar el uso de las claves AWS propias. Para obtener más información, consulta las claves AWS propias.

Si bien no puedes deshabilitar esta capa de cifrado ni seleccionar un tipo de cifrado alternativo, puedes añadir una segunda capa de cifrado sobre las claves de cifrado que ya AWS poseas si eliges una clave gestionada por el cliente al crear tus dominios de Amazon DataZone . Amazon DataZone admite el uso de claves simétricas administradas por el cliente que puedes crear, poseer y gestionar para añadir una segunda capa de cifrado sobre el cifrado que ya AWS tienes. Como tienes el control total de esta capa de cifrado, en ella puedes realizar las siguientes tareas:

  • Establezca y mantenga políticas clave

  • Establezca y mantenga las políticas y subvenciones de IAM

  • Habilite y deshabilite las políticas clave

  • Rote el material criptográfico clave

  • Agregue etiquetas

  • Cree alias clave

  • Programa la eliminación de claves

Para obtener más información, consulte Claves administradas por el cliente.

nota

Amazon habilita DataZone automáticamente el cifrado en reposo mediante claves AWS propias para proteger los datos de los clientes sin coste alguno.

AWS Se aplican cargos de KMS por el uso de claves administradas por el cliente. Para obtener más información sobre los precios, consulte los precios de los servicios de administración de AWS claves.

Cómo DataZone utiliza Amazon las subvenciones en AWS KMS

Amazon DataZone requiere tres concesiones para usar tu clave gestionada por el cliente. Cuando creas un DataZone dominio de Amazon cifrado con una clave gestionada por el cliente, Amazon DataZone crea subvenciones y subsubvenciones en tu nombre mediante el envío de CreateGrantsolicitudes a AWS KMS. Las concesiones en AWS KMS se utilizan para dar a Amazon DataZone acceso a una clave de KMS de tu cuenta. Amazon DataZone crea las siguientes concesiones para usar tu clave gestionada por el cliente en las siguientes operaciones internas:

Una subvención para cifrar los datos en reposo para las siguientes operaciones:

  • Envía DescribeKeysolicitudes a AWS KMS para comprobar que el identificador de clave de KMS simétrico gestionado por el cliente introducido al crear una colección de DataZone dominios de Amazon es válido.

  • Envíelo GenerateDataKeyrequestsa AWS KMS para generar claves de datos cifradas por su clave administrada por el cliente.

  • Envíe las solicitudes de descifrado a AWS KMS para descifrar las claves de datos cifradas para que puedan usarse para cifrar sus datos.

  • RetireGrantpara retirar la concesión cuando se elimine el dominio.

Dos subvenciones para la búsqueda y el descubrimiento de sus datos:

Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo haces, Amazon DataZone no podrá acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si intentas obtener detalles de un activo de datos a los que Amazon no DataZone puede acceder, la operación devolverá un AccessDeniedException error.

Crear una clave administrada por el cliente

Puede crear una clave simétrica gestionada por el cliente mediante la consola AWS de administración o las API de AWS KMS.

Para crear una clave simétrica gestionada por el cliente, siga los pasos para crear una clave simétrica gestionada por el cliente que se indican en la Guía para desarrolladores del servicio de gestión de AWS claves.

Política clave: las políticas clave controlan el acceso a la clave gestionada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administrar el acceso a las claves administradas por el cliente en la Guía AWS para desarrolladores del Servicio de administración de claves.

Para usar tu clave gestionada por el cliente con tus DataZone recursos de Amazon, la política de claves debe permitir las siguientes operaciones de API:

  • kms: CreateGrant — añade una concesión a una clave gestionada por el cliente. Otorga acceso de control a una clave de KMS específica, que permite el acceso a las operaciones de subvención que Amazon DataZone requiere. Para obtener más información sobre el uso de las subvenciones, consulte la Guía para desarrolladores del servicio de administración de AWS claves.

  • kms: DescribeKey — proporciona los detalles de la clave gestionada por el cliente DataZone para que Amazon pueda validar la clave.

  • kms: GenerateDataKey — devuelve una clave de datos simétrica única para usarla fuera de AWS KMS.

  • KMS:Decrypt: descifra el texto cifrado mediante una clave KMS.

Los siguientes son ejemplos de declaraciones de política que puedes añadir para Amazon DataZone:


"Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to manage Amazon DataZone",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::<account_id>:root"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant", 
        "kms:GenerateDataKey", 
        "kms:Decrypt"
      ],
      "Resource" : "arn:aws:kms:region:<account_id>:key/key_ID",
    }
  ]
nota

La política de rechazo de KMS no se aplica a los recursos a los que se accede a través del portal de DataZone datos de Amazon.

Para obtener más información sobre cómo especificar los permisos en una política, consulte la Guía para desarrolladores del servicio de administración de AWS claves.

Para obtener más información sobre la solución de problemas de acceso a las claves, consulte la Guía AWS para desarrolladores del Servicio de administración de claves.

Especificar una clave gestionada por el cliente para Amazon DataZone

Contexto DataZone de cifrado de Amazon

Un contexto de cifrado es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos.

AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales para respaldar el cifrado autenticado. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud.

Amazon DataZone utiliza el siguiente contexto de cifrado:


"encryptionContextSubset": {
    "aws:datazone:domainId": "{root-domain-uuid}"
}

Uso del contexto de cifrado para la supervisión: cuando utilizas una clave simétrica gestionada por el cliente para cifrar Amazon DataZone, también puedes utilizar el contexto de cifrado en los registros y registros de auditoría para identificar cómo se utiliza la clave gestionada por el cliente. El contexto de cifrado también aparece en los registros generados por AWS CloudTrail Amazon CloudWatch Logs.

Utilizar el contexto de cifrado para controlar el acceso a la clave gestionada por el cliente: puede utilizar el contexto de cifrado en las políticas de claves y en las políticas de IAM como condiciones para controlar el acceso a la clave simétrica gestionada por el cliente. Puede usar también una restricción de contexto de cifrado en una concesión.

Amazon DataZone utiliza una restricción de contexto de cifrado en las concesiones para controlar el acceso a la clave gestionada por el cliente en tu cuenta o región. La restricción de concesión requiere que las operaciones que permite la concesión utilicen el contexto de cifrado especificado.

Los siguientes son ejemplos de declaraciones de política de claves para conceder acceso a una clave administrada por el cliente para un contexto de cifrado específico. La condición de esta declaración de política exige que las concesiones tengan una restricción de contexto de cifrado que especifique el contexto de cifrado.


{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},{
    "Sid": "Enable Decrypt, GenerateDataKey",
     "Effect": "Allow",
     "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
     ],
     "Resource": "*",
     "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:datazone:domainId": "{root-domain-uuid}"
        }
    }
}

Supervisión de tus claves de cifrado para Amazon DataZone

Cuando utilizas una clave gestionada por el cliente de AWS KMS con tus DataZone recursos de Amazon, puedes utilizarla AWS CloudTrailpara realizar un seguimiento de las solicitudes que Amazon DataZone envía a AWS KMS. Los siguientes ejemplos son AWS CloudTrail eventos para CreateGrant GenerateDataKeyDecrypt, y DescribeKey para supervisar las operaciones de KMS solicitadas por Amazon DataZone para acceder a los datos cifrados por la clave gestionada por el cliente. Cuando utilizas una clave gestionada por el cliente de AWS KMS para cifrar tu DataZone dominio de Amazon, Amazon DataZone envía una CreateGrant solicitud en tu nombre para acceder a la clave de KMS de tu AWS cuenta. Las subvenciones que Amazon DataZone crea son específicas del recurso asociado a la clave gestionada por el cliente de AWS KMS. Además, Amazon DataZone utiliza la RetireGrant operación para eliminar una concesión cuando eliminas un dominio. El siguiente evento de ejemplo registra la operación CreateGrant: 


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "datazone.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "constraints": {
            "encryptionContextSubset": {
                "aws:datazone:domainId": "SAMPLE-root-domain-uuid"
            }
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "operations": [
            "Decrypt",
            "GenerateDataKey",
            "RetireGrant",
            "DescribeKey"
        ],
        "granteePrincipal": "datazone.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

Creación de entornos de Data Lake que incluyan catálogos de AWS Glue cifrados

En casos de uso avanzado, cuando trabajas con un catálogo de AWS Glue cifrado, debes conceder acceso al DataZone servicio de Amazon para usar tu clave de KMS gestionada por el cliente. Para ello, actualiza tu política de KMS personalizada y añade una etiqueta a la clave. Para conceder acceso al DataZone servicio de Amazon para trabajar con los datos de un catálogo de AWS Glue cifrado, sigue estos pasos:

  • Añade la siguiente política a tu clave KMS personalizada. Para obtener más información, consulte Cambiar una política de claves.

    
{
  "Sid": "Allow datazone environment roles to use the key",
  "Effect": "Allow",
  "Principal": {
    "AWS": "*"
  },
  "Action": [
    "kms:Decrypt",
    "kms:Describe*",
    "kms:Get*"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:PrincipalArn": "arn:aws:iam::*:role/*datazone_usr*"
    }
  }
}

  • Añada la siguiente etiqueta a su clave KMS personalizada. Para obtener más información, consulte Uso de etiquetas para controlar el acceso a las claves de KMS.

    
key: AmazonDataZoneEnvironment
value: all