Cifrado de datos - Amazon Rekognition
Cifrado en reposoCifrado en tránsitoAdministración de claves

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos

La siguiente información explica dónde Amazon Rekognition utiliza el cifrado de datos para proteger los datos.

Cifrado en reposo

Amazon Rekognition Image

Imágenes

Las imágenes transferidas a las operaciones de la API de Amazon Rekognition pueden almacenarse y usarse para mejorar el servicio, a menos que haya optado por no participar visitando la página de políticas de exclusión de los servicios de IA y siguiendo el proceso que se explica allí. Las imágenes almacenadas se cifran en reposo (Amazon S3) mediante AWS Key Management Service (SSE-KMS).

Colecciones

Para las operaciones de comparación de rostros que almacenan información en una colección, el algoritmo de detección subyacente detecta primero las caras de la imagen de entrada, extrae un vector para cada cara y, a continuación, almacena los vectores faciales de la colección. Amazon Rekognition utiliza estos vectores faciales al realizar la comparación de rostros. Los vectores faciales se almacenan como una matriz de valores float y se cifran en reposo.

Amazon Rekognition Video

Videos

Para analizar un vídeo, Amazon Rekognition copia sus vídeos en el servicio para su procesamiento. El vídeo pueden almacenarse y usarse para mejorar el servicio, a menos que haya optado por no participar visitando la página de políticas de exclusión de los servicios de IA y siguiendo el proceso que se explica allí. Los vídeos se cifran en reposo (Amazon S3) mediante AWS Key Management Service (SSE-KMS).

Etiquetas personalizadas de Amazon Rekognition

Etiquetas personalizadas de Amazon Rekognition cifra sus datos en reposo.

Imágenes

Para entrenar el modelo, Etiquetas personalizadas de Amazon Rekognition hace una copia de las imágenes de entrenamiento y de prueba de origen. Las imágenes copiadas se cifran en reposo en Amazon Simple Storage Service (S3) mediante el cifrado del lado del servidor con AWS KMS key una clave de KMS propia o AWS proporcionada por usted. Etiquetas personalizadas de Amazon Rekognition solo admite claves de KMS simétricas. Las imágenes de origen no se ven afectadas. Para obtener más información, consulte Training an Amazon Rekognition Custom Labels Model.

Modelos

De forma predeterminada, Etiquetas personalizadas de Amazon Rekognition cifra los modelos entrenados y los archivos de manifiesto almacenados en buckets de Amazon S3 con SSE con un Clave propiedad de AWS. Para obtener más información, consulte Protección de los datos con el cifrado del servidor. Los resultados del entrenamiento se escriben en el bucket especificado en el parámetro de entrada OutputConfig para CreateProjectVersion. Los resultados del entrenamiento se cifran mediante los ajustes de cifrado configurados para el bucket (OutputConfig).

Bucket de consola

La consola Etiquetas personalizadas de Amazon Rekognition crea un bucket de Amazon S3 (bucket de consola) que puede utilizar para gestionar sus proyectos. El bucket de la consola se cifra con el cifrado predeterminado de Amazon S3. Para obtener más información, consulte Servicio de almacenamiento simple cifrado predeterminado de Amazon para buckets de S3. Si utiliza su propia clave KMS, configure el bucket de la consola tras crearlo. Para obtener más información, consulte Protección de los datos con el cifrado del servidor. Las etiquetas personalizadas de Amazon Rekognition bloquean el acceso público al bucket de la consola.

Rekognition Face Liveness

Todos los datos relacionados con la sesión almacenados en la cuenta del servicio de Rekognition Face Liveness están completamente cifrados en reposo. De forma predeterminada, las imágenes de referencia y auditoría se cifran con una clave propia de AWS de la cuenta de servicio. Sin embargo, puede optar por proporcionar sus propias AWS KMS claves para cifrar estas imágenes.

Cifrado en tránsito

Los puntos de conexión de API de Amazon Rekognition solo admiten conexiones seguras a través de HTTPS. Toda la comunicación está cifrada con Transport Layer Security (TLS).

Administración de claves

Puede utilizar AWS Key Management Service (KMS) para administrar las claves de las imágenes de entrada y los vídeos que almacena en los buckets de Amazon S3. Para obtener más información, consulte AWS Key Management Service concepts.

Cifrado de CMK para Face Liveness

La CreateFaceLivenessSessionAPI incluye un KmsKeyId parámetro opcional. Puede proporcionar el id de la clave de KMS que haya creado en su cuenta. Esta clave se utilizará para cifrar las imágenes de referencia y de auditoría obtenidas durante la StartFaceLivenessSessionAPI, y durante la GetFaceLivenessSessionResultsAPI, las imágenes se descifrarán con esta clave antes de devolver los resultados. Si la CreateFaceLivenessSession solicitud incluía una OutputConfig, las imágenes de referencia y auditoría se cargarán en las rutas de Amazon S3 especificadas. Le recomendamos que habilite el cifrado del servidor (SSE-S3) en sus buckets de Amazon S3 para que los datos permanezcan cifrados en reposo.

Cuando proporciona su propia identificación de AWS KMS clave, el servicio Rekognition Face Liveness obtiene permiso para usar la clave administrada por el cliente en nombre del principal que invoca la. APIs Los principales (usuarios o roles) utilizados para invocar el backend APIs del cliente (APIsCreateFaceLivenessSessionyGetFaceLivenessSessionResults) deben tener acceso para realizar las siguientes tareas:

  • kms: DescribeKey

  • km: GenerateDataKey

  • kms:Decrypt