Protección de datos en EC2 Image Builder - EC2 Image Builder
Cifrado y administración de clavesAlmacenamiento de datosPrivacidad del tráfico entre redes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en EC2 Image Builder

El modelo de se aplica a protección de datos en EC2 Image Builder. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Usted es responsable de mantener el control sobre el contenido alojado en esta infraestructura. Usted también es responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS.

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utilice autenticación multifactor (MFA) en cada cuenta.

  • Utilice SSL/TLS para comunicarse con los recursos. AWS Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.

  • Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

  • Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.

  • Si necesita módulos criptográficos validados por FIPS 140-2 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-2.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como, por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabajas con Image Builder u otro Servicios de AWS mediante la consola, la API o AWS los SDK. AWS CLI Cualquier dato que ingrese en etiquetas o campos de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

Cifrado y administración de claves en EC2 Image Builder

El Generador de imágenes cifra los datos en tránsito y en reposo de forma predeterminada con una clave de KMS propiedad del servicio, excepto en los siguientes casos:

  • Componentes personalizados: el Generador de imágenes cifra los componentes personalizados con la clave de KMS predeterminada o una clave de KMS propiedad del servicio.

  • Flujos de trabajo de imágenes: el Generador de imágenes puede cifrar los flujos de trabajo de imágenes con una clave administrada por el cliente si especifica la clave durante la creación del flujo de trabajo. El Generador de imágenes gestiona el cifrado y descifrado con la clave para ejecutar los flujos de trabajo que configuró para las imágenes.

Puede administrar sus propias claves mediante AWS KMS. Sin embargo, no tiene permiso para administrar la clave KMS de Image Builder de propiedad de Image Builder. Para obtener más información sobre cómo administrar las claves de KMS con AWS Key Management Service ellas, consulte Primeros pasos en la Guía para AWS Key Management Service desarrolladores.

Contexto de cifrado

Para proporcionar una comprobación adicional de integridad y autenticidad de los datos cifrados, tiene la opción de incluir un contexto de cifrado al cifrar los datos. Cuando un recurso se cifra con un contexto de cifrado, vincula AWS KMS criptográficamente el contexto al texto cifrado. El recurso solo se puede descifrar si el solicitante proporciona una coincidencia exacta, con distinción de mayúsculas y minúsculas, para el contexto.

En los ejemplos de políticas de esta sección se utiliza un contexto de cifrado similar al nombre de recurso de Amazon (ARN) de un recurso de flujo de trabajo del Generador de imágenes.

Cifrado de flujos de trabajo de imágenes con una clave administrada por el cliente

Para agregar una capa de protección, puede cifrar los recursos de flujo de trabajo del Generador de imágenes con su propia clave administrada por el cliente. Si utiliza la clave administrada por el cliente para cifrar los flujos de trabajo del Generador de imágenes que cree, debe conceder el acceso en la política de claves para que el Generador de imágenes utilice su clave al cifrar y descifrar los recursos de flujo de trabajo. Puede revocar el acceso en cualquier momento. Sin embargo, si revoca el acceso a la clave, el Generador de imágenes no tendrá acceso a ningún flujo de trabajo que ya esté cifrado.

El proceso para conceder acceso al Generador de imágenes para usar la clave administrada por el cliente consta de los dos pasos siguientes:

Paso 1: incorporación de permisos de política de claves para los flujos de trabajo del Generador de imágenes

Para permitir que el Generador de imágenes cifre y descifre los recursos de flujo de trabajo al crear o utilizar esos flujos de trabajo, debe especificar los permisos en la política de claves de KMS.

En este ejemplo de política de claves se concede acceso a las canalizaciones del Generador de imágenes para cifrar los recursos de flujo de trabajo durante el proceso de creación y para descifrar los recursos de flujo de trabajo para utilizarlos. La política también concede acceso a los administradores de claves. El contexto de cifrado y la especificación de los recursos utilizan un comodín para abarcar todas las regiones en las que se disponen de recursos de flujo de trabajo.

Como requisito previo para utilizar flujos de trabajo de imágenes, creó un rol de ejecución de flujos de trabajo de IAM que concede permiso al Generador de imágenes para ejecutar acciones de flujo de trabajo. La entidad principal de la primera instrucción que se muestra en este ejemplo de política de claves debe especificar el rol de ejecución de flujos de trabajo de IAM.

Para obtener más información sobre las claves administradas por el cliente, consulte Managing access to customer managed keys en la Guía para desarrolladores de AWS Key Management Service .

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Allow access to build images with encrypted workflow",
			"Effect": "Allow",
			"Principal": {
				"AWS": "arn:aws:iam::111122223333:role/YourImageBuilderExecutionRole"
			},
			"Action": [
				"kms:Decrypt",
				"kms:GenerateDataKey"
			],
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"kms:EncryptionContext:aws:imagebuilder:arn": "arn:aws:imagebuilder:*:111122223333:workflow/*"
				}
			}
		},
		{
			"Sid": "Allow access for key administrators",
			"Effect": "Allow",
			"Principal": {
				"AWS": "arn:aws:iam::111122223333:root"
			},
			"Action": [
				"kms:*"
			],
			"Resource": "arn:aws:kms:*:111122223333:key/"
		}
	]
}
Paso 2: concesión de acceso a la clave al rol de ejecución de flujos de trabajo

El rol de IAM que el Generador de imágenes asume para ejecutar los flujos de trabajo necesita permiso para usar la clave administrada por el cliente. Sin acceso a la clave, el Generador de imágenes no podrá cifrar ni descifrar los recursos de flujos de trabajo.

Edite la política del rol de ejecución de flujos de trabajo para agregar la siguiente instrucción de política.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Allow access to the workflow key",
			"Effect": "Allow",
			"Action": [
				"kms:Decrypt",
				"kms:GenerateDataKey"
			],
			"Resource": "arn:aws:kms:us-west-2:111122223333:key/key_ID",
			"Condition": {
				"StringLike": {
					"kms:EncryptionContext:aws:imagebuilder:arn": "arn:aws:imagebuilder:*:111122223333:workflow/*"
				}
			}
		}
	]
}

AWS CloudTrail eventos para flujos de trabajo de imágenes

Los siguientes ejemplos muestran AWS CloudTrail las entradas típicas para cifrar y descifrar los flujos de trabajo de imágenes que se almacenan con una clave gestionada por el cliente.

Ejemplo: GenerateDataKey

En este ejemplo, se muestra el aspecto que puede tener un CloudTrail evento cuando Image Builder invoca la acción de AWS KMS GenerateDataKey API desde la acción de CreateWorkflow API de Image Builder. El Generador de imágenes debe cifrar un nuevo flujo de trabajo antes de crear el recurso de flujos de trabajo.

{
	"eventVersion": "1.08",
	"userIdentity": {
		"type": "AssumedRole",
		"principalId": "PRINCIPALID1234567890:workflow-role-name",
		"arn": "arn:aws:sts::111122223333:assumed-role/Admin/workflow-role-name",
		"accountId": "111122223333",
		"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
		"sessionContext": {
			"sessionIssuer": {
				"type": "Role",
				"principalId": "PRINCIPALID1234567890",
				"arn": "arn:aws:iam::111122223333:role/Admin",
				"accountId": "111122223333",
				"userName": "Admin"
			},
			"webIdFederationData": {},
			"attributes": {
				"creationDate": "2023-11-21T20:29:31Z",
				"mfaAuthenticated": "false"
			}
		},
		"invokedBy": "imagebuilder.amazonaws.com"
	},
	"eventTime": "2023-11-21T20:31:03Z",
	"eventSource": "kms.amazonaws.com",
	"eventName": "GenerateDataKey",
	"awsRegion": "us-west-2",
	"sourceIPAddress": "imagebuilder.amazonaws.com",
	"userAgent": "imagebuilder.amazonaws.com",
	"requestParameters": {
		"encryptionContext": {
			"aws:imagebuilder:arn": "arn:aws:imagebuilder:us-west-2:111122223333:workflow/build/sample-encrypted-workflow/1.0.0/*",
			"aws-crypto-public-key": "key value"
		},
		"keyId": "arn:aws:kms:us-west-2:111122223333:alias/ExampleKMSKey",
		"numberOfBytes": 32
	},
	"responseElements": null,
	"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
	"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"readOnly": true,
	"resources": [
		{
			"accountId": "111122223333",
			"type": "AWS::KMS::Key",
			"ARN": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz"
		}
	],
	"eventType": "AwsApiCall",
	"managementEvent": true,
	"recipientAccountId": "111122223333",
	"eventCategory": "Management"
}
Ejemplo: Decrypt

En este ejemplo, se muestra el aspecto que puede tener un CloudTrail evento cuando Image Builder invoca la acción de AWS KMS Decrypt API desde la acción de GetWorkflow API de Image Builder. Las canalizaciones del Generador de imágenes tienen que descifrar un recurso de flujo de trabajo antes de poder usarlo.

{
	"eventVersion": "1.08",
	"userIdentity": {
		"type": "AssumedRole",
		"principalId": "PRINCIPALID1234567890:workflow-role-name",
		"arn": "arn:aws:sts::111122223333:assumed-role/Admin/workflow-role-name",
		"accountId": "111122223333",
		"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
		"sessionContext": {
			"sessionIssuer": {
				"type": "Role",
				"principalId": "PRINCIPALID1234567890",
				"arn": "arn:aws:iam::111122223333:role/Admin",
				"accountId": "111122223333",
				"userName": "Admin"
			},
			"webIdFederationData": {},
			"attributes": {
				"creationDate": "2023-11-21T20:29:31Z",
				"mfaAuthenticated": "false"
			}
		},
		"invokedBy": "imagebuilder.amazonaws.com"
	},
	"eventTime": "2023-11-21T20:34:25Z",
	"eventSource": "kms.amazonaws.com",
	"eventName": "Decrypt",
	"awsRegion": "us-west-2",
	"sourceIPAddress": "imagebuilder.amazonaws.com",
	"userAgent": "imagebuilder.amazonaws.com",
	"requestParameters": {
		"keyId": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz",
		"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
		"encryptionContext": {
			"aws:imagebuilder:arn": "arn:aws:imagebuilder:us-west-2:111122223333:workflow/build/sample-encrypted-workflow/1.0.0/*",
			"aws-crypto-public-key": "ABC123def4567890abc12345678/90dE/F123abcDEF+4567890abc123D+ef1=="
		}
	},
	"responseElements": null,
	"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
	"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
	"readOnly": true,
	"resources": [
		{
			"accountId": "111122223333",
			"type": "AWS::KMS::Key",
			"ARN": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz"
		}
	],
	"eventType": "AwsApiCall",
	"managementEvent": true,
	"recipientAccountId": "111122223333",
	"eventCategory": "Management"
}

Almacenamiento de datos en el Generador de imágenes de EC2

Image Builder no almacena ninguno de sus registros en el servicio. Todos los registros se guardan en la instancia de Amazon EC2 que se utiliza para crear la imagen o en los registros de automatización del Administrador de Sistemas.

Privacidad del tráfico entre redes en EC2 Image Builder

Las conexiones están protegidas entre Image Builder y las ubicaciones locales, entre las zonas de disponibilidad de una AWS región y entre AWS las regiones a través de HTTPS. No hay conexiones directas entre las cuentas.