Protección de los datos en AWS X-Ray

AWS X-Ray siempre cifra los registros de seguimiento y los datos en reposo relacionados. Cuando necesite auditar y deshabilitar las claves de cifrado por motivos internos o de conformidad, puede configurar X-Ray para que utilice una AWS Key Management Service (AWS KMS) a la hora de cifrar los datos.

X-Ray proporciona una Clave administrada de AWS denominada aws/xray. Utilice esta clave únicamente cuando desee auditar el uso de claves en AWS CloudTrail y no la propia clave. Cuando necesite administrar el acceso a la clave o configurar la rotación de claves, puede crear una clave administrada por el cliente.

Si cambia la configuración de cifrado, X-Ray tardará algún tiempo en generar y propagar las claves de datos. Aunque la nueva clave se esté procesando, X-Ray puede cifrar los datos utilizando la configuración anterior y la nueva de forma combinada. Si se modifica la configuración de cifrado, los datos existentes no volverán a cifrarse.

nota

AWS KMS genera costos cuando X-Ray utiliza una clave de KMS para cifrar o descifrar los datos de rastreo.

• Cifrado predeterminado: gratuito.

• Clave administrada de AWS: se paga por el uso de las claves.

• Clave administrada por el cliente: se paga por el uso y el almacenamiento de las claves.

Para obtener más información, consulte AWS Key Management Service Pricing.

nota

Las notificaciones de información de X-Ray envían eventos a Amazon EventBridge, que actualmente no admite claves administradas por el cliente. Para obtener más información, consulte Protección de datos en Amazon EventBridge.

Debe tener acceso de nivel de usuario a una clave administrada por el cliente para configurar X-Ray, utilizarlo y, a continuación, consultar los rastros cifrados. Para obtener más información, consulte Permisos de usuario para cifrado.

CloudWatch console

Para configurar X-Ray de manera que utilice una clave de KMS para el cifrado mediante la consola de CloudWatch

1. Inicie sesión en la AWS Management Console y abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

2. Elija Configuración en el panel de navegación izquierdo.

3. Elija Ver ajustes en Cifrado dentro de la sección de Rastros de X-Ray.

4. Elija Editar en la sección Configuración del cifrado.

5. Elija Usar una clave de KMS.

6. Elija una clave en el menú desplegable:

   • aws/xray: utilice la Clave administrada de AWS.

   • Alias de clave: utilice una clave administrada por el cliente en su cuenta.

   • Especifique manualmente un ARN de clave: utilice una clave administrada por el cliente en una cuenta diferente. En el campo que aparece, escriba el nombre de recurso de Amazon (ARN) completo.

7. Elija Actualizar el cifrado.

X-Ray console

Para configurar X-Ray de manera que utilice una clave de KMS para el cifrado mediante la consola de X-Ray

1. Abra la consola de X-Ray.

2. Seleccione Encryption (Cifrado).

3. Elija Usar una clave de KMS.

4. Elija una clave en el menú desplegable:

   • aws/xray: utilice la Clave administrada de AWS.

   • Alias de clave: utilice una clave administrada por el cliente en su cuenta.

   • Especifique manualmente un ARN de clave: utilice una clave administrada por el cliente en una cuenta diferente. En el campo que aparece, escriba el nombre de recurso de Amazon (ARN) completo.

5. Seleccione Apply (Aplicar).

nota

X-Ray no es compatible con claves de KMS asimétricas.

Si X-Ray no puede obtener acceso a la clave de cifrado, deja de almacenar los datos. Esto puede ocurrir si el usuario pierde acceso a la clave de KMS o si se deshabilita una clave que actualmente está en uso. Cuando esto sucede, X-Ray muestra una notificación en la barra de navegación.

Para configurar las opciones de cifrado con la API de X-Ray, consulte Configuración de las opciones de muestreo, grupos y cifrado con la API de AWS X-Ray.