Amazon Forecast ya no está disponible para nuevos clientes. Los clientes actuales de Amazon Forecast pueden seguir utilizando el servicio con normalidad. Más información
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Protección de datos en Amazon Forecast
La AWS modelo de responsabilidad compartida
Para fines de protección de datos, le recomendamos que proteja Cuenta de AWS credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
-
Utilice la autenticación multifactorial (MFA) con cada cuenta.
-
UtiliceSSL/TLSpara comunicarse con AWS recursos. Necesitamos TLS 1.2 y recomendamos TLS 1.3.
-
Configure API y registre la actividad del usuario con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Trabajar con CloudTrail senderos en AWS CloudTrail Guía del usuario.
-
Uso AWS soluciones de cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
-
Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
-
Si necesita entre FIPS 140 y 3 módulos criptográficos validados para acceder AWS a través de una interfaz de línea de comandos oAPI, utilice un FIPS punto final. Para obtener más información sobre los FIPS puntos finales disponibles, consulte la Norma Federal de Procesamiento de Información (FIPS) 140-3
.
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como, por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con Forecast u otros Servicios de AWS utilizando la consolaAPI, AWS CLI, o AWS SDKs. Cualquier dato que ingrese en etiquetas o campos de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, le recomendamos encarecidamente que no incluya información sobre las credenciales URL para validar su solicitud a ese servidor.
Cifrado en reposo
En Amazon Forecast, la configuración de cifrado se proporciona durante las operaciones CreateDataset y CreatePredictor. Si se proporciona una configuración de cifrado en la CreateDataset operación, en la CreateDatasetImportJob operación se utilizará su CMK IAM función de cifrado en reposo.
Por ejemplo, si proporciona sus claves KMSKeyArn y una RoleArn en la EncryptionConfig declaración de la CreateDataset operación, Forecast asumirá esa función y utilizará la clave para cifrar el conjunto de datos. Si no se proporciona ninguna configuración, Forecast utiliza las claves de servicio predeterminadas para el cifrado. Además, si proporciona la EncryptionConfig información de la CreatePredictor operación, todas las operaciones subsiguientes (por ejemplo CreatePredictorExplanability CreatePredictorBacktestExportJob, CreateForecast y) utilizarán la misma configuración para realizar el cifrado en reposo. De nuevo, si no proporciona una configuración de cifrado, Forecast utilizará el cifrado de servicio predeterminado.
Para todos los datos almacenados en su bucket de Amazon S3, los datos se cifran con la clave de Amazon S3 predeterminada. También puede usar la suya propia AWS KMS clave para cifrar sus datos y dar acceso a Forecast a esta clave. Para más información sobre el cifrado de datos en Amazon S3, consulte Protección de datos mediante cifrado. Para obtener información sobre cómo administrar los suyos AWS KMS clave, consulte Administrar claves en el AWS Key Management Service Guía para desarrolladores.
Cifrado en tránsito y procesamiento
Amazon Forecast utiliza TLS con AWS certificados para cifrar cualquier dato enviado a otros AWS servicios. Cualquier comunicación con otros AWS los servicios pasan por alto HTTPS y los puntos finales de Forecast solo admiten conexiones seguras a través deHTTPS.
Amazon Forecast copia los datos de tu cuenta y los procesa de forma interna AWS sistema. Al procesar datos, Forecast cifra los datos con un Forecast AWS KMS clave o cualquier AWS KMS clave que proporciones.
Cómo utiliza Amazon Forecast las subvenciones en AWS KMS
Amazon Forecast requiere una concesión para utilizar su clave administrada por el cliente.
Forecast crea una concesión utilizando el IAM rol que se transfiere durante EncryptionConfigla CreateDatasetoperación CreatePredictoro. Forecast asume la el rol y realiza una operación de creación de concesiones en su nombre. Consulte Configurar IAM el rol para obtener más información.
Sin embargo, cuando creas un predictor cifrado con una clave gestionada por el cliente, Amazon Forecast crea una subvención en tu nombre enviando una CreateGrantsolicitud a AWS KMS. Becas en AWS KMS se utilizan para dar acceso a Amazon Forecast a un AWS KMS introducir una cuenta de cliente.
Amazon Forecast requiere la concesión para poder utilizar la clave gestionada por el cliente para enviar solicitudes de descifrado a AWS KMS para leer los artefactos del conjunto de datos cifrados. Forecast también usa la concesión para enviar GenerateDataKey solicitudes a AWS KMS para volver a cifrar los artefactos de entrenamiento en Amazon S3.
Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, Amazon Forecast no podrá acceder a ninguno de los datos cifrados por la clave administrada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si intentas realizar la CreateForecast operación en un predictor cifrado al que Amazon Forecast no puede acceder, la operación devolverá un AccessDeniedException error.
Crear una clave administrada por el cliente
Puede crear una clave simétrica gestionada por el cliente mediante el AWS Management Console o el AWS KMS API. Para crear una clave simétrica gestionada por el cliente, siga los pasos para crear una clave simétrica gestionada por el cliente que se indican en el AWS Key Management Service Guía para desarrolladores.
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administrar el acceso a las claves administradas por el cliente en la AWS Key Management Service Guía para desarrolladores.
Para utilizar la clave gestionada por el cliente con los recursos de Amazon Forecast, la política de claves debe permitir las siguientes API operaciones:
kms: DescribeKey — Proporciona los detalles clave gestionados por el cliente que permiten a Amazon Forecast validar la clave.
kms: CreateGrant — Añade una concesión a una clave gestionada por el cliente. Otorga el acceso de control a una determinada AWS KMS clave, que permite el acceso a las operaciones de subvención que Amazon Forecast requiere. Esta operación permite que Amazon Forecast llame a
GenerateDataKeypara generar una clave de datos cifrada y almacenarla, ya que la clave de datos no se utiliza inmediatamente para el cifrado. Además, la operación permite a Amazon Forecast llamar aDecryptpara que pueda usar la clave de datos cifrados almacenada y acceder a los datos cifrados.kms: RetireGrant - Retira todas las subvenciones concedidas durante la
CreateGrantoperación una vez finalizada la operación.
nota
Amazon Forecast realiza una validación de kms:Decrypt y kms:GenerateDataKey de la identidad de la persona que llama. Recibirás una AccessDeniedException en caso de que la persona que llama no tenga los permisos correspondientes. La política de claves también debe parecerse al código siguiente:
"Effect": "Allow", "Principal": { "AWS": “AWS Invoking Identity” }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey” ], "Resource": "*" }
Para obtener más información, consulta la IAMPolítica.
Los siguientes son ejemplos de declaraciones de política que puede agregar para Amazon Forecast. Estos son los permisos mínimos necesarios, que también se pueden añadir mediante IAM políticas.
"Statement" : [ {"Sid" : "Allow access to principals authorized to use Amazon Forecast", "Effect" : "Allow", "Principal" : {"AWS" : "arn:aws:iam::111122223333:role/ROLE_PASSED_TO_FORECAST" }, "Action" : [ "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource" : "*", "Condition" : {"StringEquals" : {"kms:ViaService" : "forecast.region.amazonaws.com", "kms:CallerAccount" : "111122223333" } }, {"Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" } ]
Consulte las AWS Key Management Service Para obtener más información sobre la especificación de permisos en una política y la solución de problemas de acceso a las claves, encontrará más información sobre cómo especificar permisos en una política
Supervisión de las claves de cifrado para Amazon Forecast Service
Cuando usas un AWS KMS clave gestionada por el cliente con tus recursos de Amazon Forecast Service, puedes usar AWS CloudTrailo Amazon CloudWatch Logs para realizar un seguimiento de las solicitudes que Forecast envía a AWS KMS. Los siguientes ejemplos son AWS CloudTrail eventos para CreateGrantRetireGrant, y DescribeKey para monitorear AWS KMS operaciones solicitadas por Amazon Forecast para acceder a los datos cifrados por la clave gestionada por el cliente.
