Protección de datos en Amazon VPC Lattice

La AWS modelo de responsabilidad compartida se aplica a la protección de datos en Amazon VPC Lattice. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Usted es responsable de mantener el control sobre el contenido que está alojado en esta infraestructura. Este contenido incluye las tareas de configuración y administración de la seguridad del Servicios de AWS que utilices. Para obtener más información sobre la privacidad de los datos, consulte la sección Privacidad de datos FAQ. Para obtener información sobre la protección de datos en Europa, consulte la AWS Modelo de responsabilidad compartida y entrada de GDPR blog sobre AWS Blog de seguridad.

Cifrado en tránsito

VPCLattice es un servicio totalmente gestionado que consta de un plano de control y un plano de datos. Cada plano tiene un propósito distinto en el servicio. El plano de control proporciona los recursos administrativos que APIs se utilizan para crear, leer/describir, actualizar, eliminar y enumerar (CRUDL) los recursos (por ejemplo, CreateService y). UpdateService Las comunicaciones con el plano de control de VPC Lattice están protegidas durante el tránsito por. TLS El plano de datos es el VPC Lattice InvokeAPI, que proporciona la interconexión entre los servicios. TLScifra las comunicaciones al plano de datos de VPC Lattice cuando utiliza o. HTTPS TLS El conjunto de cifrado y la versión del protocolo utilizan los valores predeterminados proporcionados por VPC Lattice y no son configurables. Para obtener más información, consulte Oyentes HTTPS para servicios de VPC Lattice.

Cifrado en reposo

De forma predeterminada, el cifrado de los datos en reposo ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales. Al mismo tiempo, le permite crear aplicaciones seguras que cumplen con los estrictos requisitos normativos y de conformidad del cifrado.

Contenido

Cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3)
Cifrado del lado del servidor con AWS KMS claves almacenadas en AWS KMS (SSE-KMS)

Cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3)

Cuando utiliza el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3), cada objeto se cifra con una clave única. Como medida de seguridad adicional, ciframos la propia clave con una clave raíz que cambiamos periódicamente. El cifrado del lado del servidor de Amazon S3 utiliza uno de los cifrados por bloques más potentes disponibles, el estándar de cifrado avanzado de 256 bits (AES-256)GCM, para cifrar los datos. En el caso de los objetos cifrados antes de AES AES - GCMCBC, se sigue admitiendo el descifrado de esos objetos. Para obtener más información, consulte Uso del cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (-S3). SSE

Si habilita el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3) para su bucket de S3 para los registros de acceso de VPC Lattice, ciframos automáticamente cada archivo de registro de acceso antes de que se almacene en su bucket de S3. Para obtener más información, consulte Registros enviados a Amazon S3 en la Guía del CloudWatch usuario de Amazon.

Cifrado del lado del servidor con AWS KMS claves almacenadas en AWS KMS (SSE-KMS)

Cifrado del lado del servidor con AWS KMS keys (SSE-KMS) es similar a SSE -S3, pero con ventajas y cargos adicionales por el uso de este servicio. Existen permisos independientes para el AWS KMS clave que proporciona protección adicional contra el acceso no autorizado a sus objetos en Amazon S3. SSE- KMS también le proporciona un registro de auditoría que muestra cuándo AWS KMS se usó la clave y quién la usó. Para obtener más información, consulte Uso del cifrado del lado del servidor con AWS Key Management Service (SSE-KMS).

Contenido

Cifrado y descifrado de la clave privada de su certificado
Contexto de cifrado para VPC Lattice
Supervisión de las claves de cifrado de VPC Lattice

Cifrado y descifrado de la clave privada de su certificado

El ACM certificado y la clave privada se cifran mediante un AWS KMSclave administrada que tiene el alias aws/acm. Puede ver el ID de clave con este alias en el AWS KMS consola en AWS claves administradas.

VPCLattice no accede directamente a sus ACM recursos. Utiliza AWS TLSConnection Manager para proteger y acceder a las claves privadas de su certificado. Cuando utiliza su ACM certificado para crear un servicio de VPC Lattice, VPC Lattice asocia su certificado a AWS TLSGestor de conexiones. Esto se hace mediante la creación de una subvención en AWS KMS en contra de tu AWS Clave gestionada con el prefijo aws/acm. Una concesión es un instrumento de política que permite a TLS Connection Manager utilizar KMS claves en operaciones criptográficas. La concesión permite al titular de la subvención (TLSConnection Manager) realizar las operaciones de concesión especificadas en la KMS clave para descifrar la clave privada del certificado. TLSA continuación, Connection Manager utiliza el certificado y la clave privada descifrada (texto sin formato) para establecer una conexión (SSL/TLSsesión) segura con los clientes de los servicios de Lattice. VPC Cuando el certificado se disocia de un servicio de VPC Lattice, se retira la concesión.

Si desea eliminar el acceso a la KMS clave, le recomendamos que sustituya o elimine el certificado del servicio mediante el AWS Management Console o el update-service comando de AWS CLI.

Contexto de cifrado para VPC Lattice

Un contexto de cifrado es un conjunto opcional de pares clave-valor que contienen información contextual sobre el uso que se puede dar a la clave privada. AWS KMS vincula el contexto de cifrado a los datos cifrados y lo utiliza como datos autenticados adicionales para respaldar el cifrado autenticado.

Cuando sus TLS claves se utilizan con VPC Lattice y TLS Connection Manager, el nombre de su servicio VPC Lattice se incluye en el contexto de cifrado utilizado para cifrar la clave en reposo. Puede comprobar para qué servicio de VPC Lattice se utilizan su certificado y su clave privada consultando el contexto de cifrado de sus CloudTrail registros, como se muestra en la siguiente sección, o consultando la pestaña Recursos asociados de la consola. ACM

Para descifrar los datos, se incluye el mismo contexto de cifrado en la solicitud. VPCLattice utiliza el mismo contexto de cifrado en todos AWS KMSoperaciones criptográficas, donde la clave es aws:vpc-lattice:arn y el valor es el nombre del recurso de Amazon (ARN) del servicio VPC Lattice.

El siguiente ejemplo muestra el contexto de cifrado en el resultado de una operación como. CreateGrant


"encryptionContextEquals": {
    "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}

Supervisión de las claves de cifrado de VPC Lattice

Cuando usas un AWS clave administrada con su servicio VPC Lattice, puede usar AWS CloudTrailpara rastrear las solicitudes que VPC Lattice envía a AWS KMS.

CreateGrant

Cuando agrega su ACM certificado a un servicio de VPC Lattice, se envía una CreateGrant solicitud en su nombre para que TLS Connection Manager pueda descifrar la clave privada asociada a su certificado ACM

Puede ver la CreateGrant operación como un evento en el Historial de eventos CloudTrail,. CreateGrant

A continuación se muestra un ejemplo de registro de eventos en el historial de CloudTrail eventos de la CreateGrant operación.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::111122223333:user/Alice",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "IAMUser",
                "principalId": "EX_PRINCIPAL_ID",
                "arn": "arn:aws:iam::111122223333:user/Alice",
                "accountId": "111122223333",
                "userName": "Alice"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-06T23:30:50Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "acm.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:18Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "acm.amazonaws.com",
    "userAgent": "acm.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "tlsconnectionmanager.amazonaws.com",
        "keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "operations": [
            "Decrypt"
        ],
        "constraints": {
            "encryptionContextEquals": {
                "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
            }
        },
        "retiringPrincipal": "acm.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ba178361-8ab6-4bdd-9aa2-0d1a44b2974a",
    "eventID": "8d449963-1120-4d0c-9479-f76de11ce609",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

En el CreateGrant ejemplo anterior, el beneficiario principal es TLS Connection Manager y el contexto de cifrado es el servicio VPC Lattice. ARN

ListGrants

Puede usar su ID de KMS clave y su ID de cuenta para llamar al. ListGrants API De este modo, obtendrá una lista de todas las concesiones para la KMS clave especificada. Para obtener más información, consulte ListGrants.

Utilice el siguiente ListGrants comando en AWS CLI para ver los detalles de todas las subvenciones.


aws kms list-grants —key-id your-kms-key-id

A continuación, se muestra un ejemplo del resultado.


{
    "Grants": [
        {
            "Operations": [
                "Decrypt"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", 
            "Name": "IssuedThroughACM", 
            "RetiringPrincipal": "acm.us-west-2.amazonaws.com", 
            "GranteePrincipal": "tlsconnectionmanager.amazonaws.com", 
            "GrantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", 
            "IssuingAccount": "arn:aws:iam::111122223333:root", 
            "CreationDate": "2023-02-06T23:30:50Z", 
            "Constraints": {
                "encryptionContextEquals": {
                  "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                  "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
                }
            }
        }
    ]
}

En el ListGrants ejemplo anterior, el beneficiario principal es TLS Connection Manager y el contexto de cifrado es el servicio VPC Lattice. ARN

Decrypt

VPCLattice utiliza TLS Connection Manager para realizar la Decrypt operación de descifrado de su clave privada con el fin de atender TLS las conexiones de su servicio Lattice. VPC Puede ver la Decrypt operación como un evento en el historial de eventos, CloudTrailDecrypt.

A continuación se muestra un ejemplo de registro de eventos en el historial de CloudTrail eventos de la Decrypt operación.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "tlsconnectionmanager.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "tlsconnectionmanager.amazonaws.com",
    "userAgent": "tlsconnectionmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12345126-30d5-4b28-98b9-9153da559963",
    "eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "eventCategory": "Management"
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Solicitudes autenticadas

Administración de identidades y accesos