Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado en Amazon MWAA
En los siguientes temas se describe la manera en que Amazon MWAA protege los datos en reposo y los datos en tránsito. Utilice esta información para obtener información sobre cómo Amazon MWAA se integra AWS KMS para cifrar los datos en reposo y cómo se cifran los datos mediante el protocolo Transport Layer Security (TLS) en tránsito.
Cifrado en reposo
En Amazon MWAA, los datos en reposo son datos que el servicio guarda en medios persistentes.
Al crear un entorno, puede utilizar una clave propiedad de AWS para el cifrado de los datos en reposo o, si lo desea, proporcionar una clave administrada por el cliente. Si decide utilizar una clave KMS administrada por el cliente, debe estar en la misma cuenta que los demás AWS recursos y servicios que utilice en su entorno.
Para usar una clave KMS administrada por el cliente, debe adjuntar la declaración de política requerida para CloudWatch acceder a su política clave. Si utiliza una clave de KMS administrada por el cliente para su entorno, Amazon MWAA asocia cuatro concesiones en su nombre. Para obtener más información sobre las concesiones que Amazon MWAA concede a una clave de KMS gestionada por el cliente, consulte Claves gestionadas por el cliente para el cifrado de datos.
Si no especifica una clave de KMS gestionada por el cliente, de forma predeterminada, Amazon MWAA utiliza una AWS clave de KMS propia para cifrar y descifrar los datos. Recomendamos utilizar una clave AWS KMS propia para gestionar el cifrado de datos en Amazon MWAA.
nota
Usted paga por el almacenamiento y el uso de las claves de KMS AWS propias o administradas por el cliente en Amazon MWAA. Para obtener más información, consulta los precios.AWS KMS
Artefactos de cifrado
Al crear su entorno de Amazon MWAA, deberá especificar los artefactos de cifrado que utilizará para el cifrado en reposo especificando una clave propiedad de AWS o una clave administrada por el cliente. Amazon MWAA se encargará de añadir la concesiones necesarias a la clave especificada.
Amazon S3: los datos de Amazon S3 se cifran a nivel de objeto mediante el cifrado del servidor (SSE). En Amazon S3, el cifrado y el descifrado se llevan a cabo en el bucket de Amazon S3 en el cual estén almacenados el código de sus DAG y los archivos auxiliares. Los objetos se cifran al cargarlos en Amazon S3 y se descifran al descargarlos de su entorno de Amazon MWAA. Si utiliza una clave de KMS administrada por el cliente, Amazon MWAA la utilizará para leer y descifrar los datos de su bucket de Amazon S3 de forma predeterminada.
CloudWatch Registros: si utiliza una clave KMS AWS propia, los registros de Apache Airflow enviados a CloudWatch Logs se cifran mediante SSE con la clave KMS AWS propiedad de CloudWatch Logs. Si utiliza una clave de KMS gestionada por el cliente, debe añadir una política de claves a su clave de KMS para que CloudWatch Logs pueda utilizarla.
Amazon SQS: Amazon MWAA creará una cola de Amazon SQS para su entorno. Amazon MWAA gestiona el cifrado de los datos que se pasan a la cola y desde ella mediante SSE con una clave de KMS propia o con una clave de KMS AWS gestionada por el cliente que usted especifique. Debe añadir los permisos de Amazon SQS a su función de ejecución, independientemente de si utiliza una clave de KMS propia o AWS gestionada por el cliente.
Aurora PostgreSQL: Amazon MWAA creará un clúster de PostgreSQL para su entorno. Aurora PostgreSQL cifra el contenido con una clave KMS propia o AWS gestionada por el cliente mediante SSE. Si utiliza una clave de KMS administrada por el cliente, Amazon RDS añadirá, como mínimo, dos concesiones a la clave: una para el clúster y otra para la instancia de base de datos. Amazon RDS podría crear concesiones adicionales si decide utilizar la clave de KMS administrada por el cliente en varios entornos. Para obtener más información, consulte Protección de datos en Amazon RDS.
Cifrado en tránsito
Se denomina “datos en tránsito” a los datos que pueden ser interceptados mientras se desplazan por la red.
Transport Layer Security (TLS) cifra los objetos MWAA de Amazon en tránsito entre los componentes de Apache Airflow de su entorno y otros servicios AWS que se integran con Amazon MWAA, como Amazon S3. Para obtener más información sobre el cifrado de Amazon S3, consulte Protección de datos mediante cifrado.
