Perlindungan data di AWS Audit Manager

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di AWS Audit Manager. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, lihat Privasi Data FAQ. Untuk informasi tentang perlindungan data di Eropa, lihat Model Tanggung Jawab AWS Bersama dan posting GDPR blog di Blog AWS Keamanan.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensi dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management ()IAM. Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

• Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.

• GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.

• Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.

• Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

• Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

• Jika Anda memerlukan FIPS 140-2 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atau, gunakan titik akhir. API FIPS Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Federal Information Processing Standard (FIPS) 140-2.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan Audit Manager atau lainnya Layanan AWS menggunakan konsol,API, AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensil dalam URL untuk memvalidasi permintaan Anda ke server tersebut.

Selain rekomendasi di atas, kami merekomendasikan secara khusus agar pelanggan Audit Manager tidak menyertakan informasi identifikasi sensitif di bidang bentuk bebas saat membuat penilaian, kontrol kustom, kerangka kerja khusus, dan komentar delegasi.

Penghapusan data Audit Manager

Ada beberapa cara agar data Audit Manager dapat dihapus.

Penghapusan data saat menonaktifkan Audit Manager

Ketika Anda menonaktifkan Audit Manager, Anda dapat memutuskan apakah Anda ingin menghapus semua data Audit Manager Anda. Jika Anda memilih untuk menghapus data, data tersebut akan dihapus dalam waktu 7 hari setelah menonaktifkan Audit Manager. Setelah data Anda dihapus, Anda tidak dapat memulihkannya.

Penghapusan data otomatis

Beberapa data Audit Manager dihapus secara otomatis setelah periode waktu tertentu. Audit Manager menyimpan data pelanggan sebagai berikut.

Tipe data	Periode retensi data	Catatan
Bukti	Data disimpan selama 2 tahun sejak saat pembuatan	Termasuk bukti otomatis dan bukti manual
Sumber daya yang dibuat pelanggan	Data disimpan tanpa batas waktu	Termasuk penilaian, laporan penilaian, kontrol kustom, dan kerangka kerja khusus

Penghapusan data manual

Anda dapat menghapus sumber daya Audit Manager individual kapan saja. Untuk petunjuk, lihat yang berikut ini:

• Menghapus penilaian di AWS Audit Manager

  • Lihat juga: DeleteAssessmentdi AWS Audit Manager APIReferensi

• Menghapus kerangka kerja khusus di AWS Audit Manager

  • Lihat juga: DeleteAssessmentFrameworkdi AWS Audit Manager APIReferensi

• Menghapus permintaan berbagi di AWS Audit Manager

  • Lihat juga: DeleteAssessmentFrameworkSharedi AWS Audit Manager APIReferensi

• Menghapus laporan penilaian

  • Lihat juga: DeleteAssessmentReportdi AWS Audit Manager APIReferensi

• Menghapus kontrol khusus di AWS Audit Manager

  • Lihat juga: DeleteControldi AWS Audit Manager APIReferensi

Untuk menghapus data sumber daya lain yang mungkin telah Anda buat saat menggunakan Audit Manager, lihat berikut ini:

• Menghapus penyimpanan data acara di Panduan AWS CloudTrail Pengguna

• Menghapus bucket di Panduan Pengguna Amazon Simple Storage Service (Amazon S3)

Enkripsi diam

Untuk mengenkripsi data saat istirahat, Audit Manager menggunakan enkripsi sisi server Kunci yang dikelola AWS untuk semua penyimpanan data dan lognya.

Data Anda dienkripsi di bawah kunci yang dikelola pelanggan atau Kunci milik AWS, tergantung pada pengaturan yang Anda pilih. Jika Anda tidak memberikan kunci terkelola pelanggan, Audit Manager menggunakan kunci Kunci milik AWS untuk mengenkripsi konten Anda. Semua metadata layanan di DynamoDB dan Amazon S3 di Audit Manager dienkripsi menggunakan file. Kunci milik AWS

Audit Manager mengenkripsi data sebagai berikut:

• Metadata layanan yang disimpan di Amazon S3 dienkripsi dengan menggunakan -. Kunci milik AWS SSE KMS

• Metadata layanan yang disimpan di DynamoDB adalah sisi server yang dienkripsi menggunakan dan file. KMS Kunci milik AWS

• Konten Anda yang disimpan di DynamoDB dienkripsi sisi klien menggunakan kunci yang dikelola pelanggan atau kunci. Kunci milik AWS KMSKuncinya didasarkan pada pengaturan yang Anda pilih.

• Konten Anda yang disimpan di Amazon S3 di Audit Manager dienkripsi menggunakan -. SSE KMS KMSKuncinya didasarkan pada pilihan Anda, dan bisa berupa kunci yang dikelola pelanggan atau kunci Kunci milik AWS.

• Laporan penilaian yang dipublikasikan ke bucket S3 Anda dienkripsi sebagai berikut:

  • Jika Anda memberikan kunci terkelola pelanggan, data Anda dienkripsi menggunakan SSE -. KMS

  • Jika Anda menggunakan Kunci milik AWS, data Anda dienkripsi menggunakan SSE -S3.

Enkripsi bergerak

Audit Manager menyediakan endpoint yang aman dan pribadi untuk mengenkripsi data dalam perjalanan. Endpoint yang aman dan pribadi memungkinkan AWS untuk melindungi integritas API permintaan kepada Audit Manager.

Transit antar layanan

Secara default, semua komunikasi antar layanan dilindungi dengan menggunakan enkripsi Transport Layer Security (TLS).

Manajemen kunci

Audit Manager mendukung kunci terkelola Kunci milik AWS dan pelanggan untuk mengenkripsi semua sumber daya Audit Manager (penilaian, kontrol, kerangka kerja, bukti, dan laporan penilaian yang disimpan ke bucket S3 di akun Anda).

Kami menyarankan Anda menggunakan kunci yang dikelola pelanggan. Dengan demikian, Anda dapat melihat dan mengelola kunci enkripsi yang melindungi data Anda, termasuk melihat log penggunaannya AWS CloudTrail. Ketika Anda memilih kunci yang dikelola pelanggan, Audit Manager membuat hibah pada KMS kunci sehingga dapat digunakan untuk mengenkripsi konten Anda.

Awas

Setelah menghapus atau menonaktifkan KMS kunci yang digunakan untuk mengenkripsi sumber daya Audit Manager, Anda tidak dapat lagi mendekripsi sumber daya yang dienkripsi di bawah KMS kunci tersebut, yang berarti bahwa data menjadi tidak dapat dipulihkan.

Menghapus KMS kunci di AWS Key Management Service (AWS KMS) bersifat merusak dan berpotensi berbahaya. Untuk informasi selengkapnya tentang menghapus KMS kunci, lihat Menghapus AWS KMS keys di AWS Key Management Service Panduan Pengguna.

Anda dapat menentukan setelan enkripsi saat mengaktifkan Audit Manager menggunakan Audit ManagerAPI, atau AWS Command Line Interface (AWS CLI). AWS Management Console Untuk petunjuk, lihat Mengaktifkan AWS Audit Manager.

Anda dapat meninjau dan mengubah pengaturan enkripsi Anda kapan saja. Untuk petunjuk, lihat Mengonfigurasi setelan enkripsi data.

Untuk informasi selengkapnya tentang cara mengatur kunci terkelola pelanggan, lihat Membuat kunci di Panduan AWS Key Management Service Pengguna.