Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi data saat istirahat untuk Akses AWS Terverifikasi
AWS Akses Terverifikasi mengenkripsi data saat istirahat secara default, menggunakan kunci yang AWS dimilikiKMS. Ketika enkripsi data saat istirahat terjadi secara default, ini membantu mengurangi overhead operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Pada saat yang sama, ini memungkinkan Anda untuk membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan. Bagian berikut memberikan rincian tentang bagaimana Akses Terverifikasi menggunakan KMS kunci untuk enkripsi data saat istirahat.
Daftar Isi
- Akses dan KMS kunci terverifikasi
- Informasi pengenal pribadi
- Bagaimana Akses AWS Terverifikasi menggunakan hibah di AWS KMS
- Menggunakan kunci terkelola pelanggan dengan Akses Terverifikasi
- Menentukan kunci terkelola pelanggan untuk sumber daya Akses Terverifikasi
- AWS Konteks enkripsi Akses Terverifikasi
- Memantau kunci enkripsi Anda untuk Akses AWS Terverifikasi
Akses dan KMS kunci terverifikasi
AWS kunci yang dimiliki
Akses Terverifikasi menggunakan KMS kunci untuk secara otomatis mengenkripsi informasi yang dapat diidentifikasi secara pribadi (). PII Ini terjadi secara default, dan Anda sendiri tidak dapat melihat, mengelola, menggunakan, atau mengaudit penggunaan kunci yang AWS dimiliki. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat kunci yang AWS dimiliki di Panduan AWS Key Management Service Pengembang.
Meskipun Anda tidak dapat menonaktifkan lapisan enkripsi ini atau memilih jenis enkripsi alternatif, Anda dapat menambahkan lapisan enkripsi kedua di atas kunci enkripsi yang ada AWS dengan memilih kunci yang dikelola pelanggan saat Anda membuat sumber daya Akses Terverifikasi.
Kunci yang dikelola pelanggan
Akses Terverifikasi mendukung penggunaan kunci terkelola pelanggan simetris yang Anda buat dan kelola, untuk menambahkan lapisan enkripsi kedua di atas enkripsi default yang ada. Karena Anda memiliki kontrol penuh atas lapisan enkripsi ini, Anda dapat melakukan tugas-tugas seperti:
-
Menetapkan dan memelihara kebijakan utama
-
Menetapkan dan memelihara IAM kebijakan dan hibah
-
Mengaktifkan dan menonaktifkan kebijakan utama
-
Memutar bahan kriptografi kunci
-
Menambahkan tanda
-
Membuat alias kunci
-
Kunci penjadwalan untuk penghapusan
Untuk informasi selengkapnya, lihat Kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.
catatan
Akses Terverifikasi secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki untuk melindungi data yang dapat diidentifikasi secara pribadi tanpa biaya.
Namun, AWS KMS biaya akan berlaku ketika Anda menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat AWS Key Management Service
harga
Informasi pengenal pribadi
Tabel berikut merangkum informasi yang dapat diidentifikasi secara pribadi (PII) yang digunakan Akses Terverifikasi, dan bagaimana informasi tersebut dienkripsi.
Tipe data | AWS enkripsi kunci yang dimiliki | Enkripsi kunci yang dikelola pelanggan (Opsional) |
---|---|---|
Trust provider (user-type) Penyedia kepercayaan tipe pengguna berisi OIDC opsi seperti AuthorizationEndpoint,, UserInfoEndpoint, ClientId, ClientSecret, dan sebagainya, yang dipertimbangkan. PII |
Diaktifkan | Diaktifkan |
Trust provider (device-type) Penyedia kepercayaan tipe perangkat berisi a TenantId, yang dipertimbangkan. PII |
Diaktifkan | Diaktifkan |
Group policy Disediakan selama pembuatan atau modifikasi grup Akses Terverifikasi. Berisi aturan untuk mengotorisasi permintaan akses. Mungkin berisi PII seperti nama pengguna dan alamat email, dan sebagainya. |
Diaktifkan | Diaktifkan |
Endpoint policy Disediakan selama pembuatan atau modifikasi titik akhir Akses Terverifikasi. Berisi aturan untuk mengotorisasi permintaan akses. Mungkin berisi PII seperti nama pengguna dan alamat email, dan sebagainya. |
Diaktifkan | Diaktifkan |
Bagaimana Akses AWS Terverifikasi menggunakan hibah di AWS KMS
Akses Terverifikasi memerlukan hibah untuk menggunakan kunci terkelola pelanggan Anda.
Saat Anda membuat sumber daya Akses Terverifikasi yang dienkripsi dengan kunci terkelola pelanggan, Akses Terverifikasi akan membuat hibah atas nama Anda dengan mengirimkan CreateGrantpermintaan ke. AWS KMS Hibah AWS KMS digunakan untuk memberikan Akses Terverifikasi akses ke kunci yang dikelola pelanggan di akun Anda.
Akses Terverifikasi memerlukan hibah untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:
-
Kirim permintaan Dekripsi ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mendekripsi data Anda.
-
Kirim RetireGrantpermintaan AWS KMS untuk menghapus hibah.
Anda dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, Akses Terverifikasi tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut.
Menggunakan kunci terkelola pelanggan dengan Akses Terverifikasi
Anda dapat membuat kunci yang dikelola pelanggan simetris dengan menggunakan AWS Management Console, atau. AWS KMS APIs Ikuti langkah-langkah untuk Membuat kunci enkripsi simetris di Panduan AWS Key Management Service Pengembang.
Kebijakan utama
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Kebijakan utama di Panduan AWS Key Management Service Pengembang.
Untuk menggunakan kunci terkelola pelanggan dengan sumber daya Akses Terverifikasi, API operasi berikut harus diizinkan dalam kebijakan utama:
-
kms:CreateGrant
— Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke KMS kunci tertentu, yang memungkinkan akses untuk memberikan operasi yang diperlukan Akses Terverifikasi. Untuk informasi selengkapnya, lihat Hibah, di Panduan AWS Key Management Service Pengembang.Hal ini memungkinkan Akses Terverifikasi untuk melakukan hal berikut:
-
Panggilan
GenerateDataKeyWithoutPlainText
untuk menghasilkan kunci data terenkripsi dan menyimpannya, karena kunci data tidak segera digunakan untuk mengenkripsi. -
Panggilan
Decrypt
untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi. -
Siapkan kepala sekolah yang pensiun untuk memungkinkan layanan.
RetireGrant
-
-
kms:DescribeKey
— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan Akses Terverifikasi memvalidasi kunci. -
kms:GenerateDataKey
— Memungkinkan Akses Terverifikasi untuk menggunakan kunci untuk mengenkripsi data. -
kms:Decrypt
— Izinkan Akses Terverifikasi untuk mendekripsi kunci data terenkripsi.
Berikut ini adalah contoh kebijakan kunci yang dapat Anda gunakan untuk Akses Terverifikasi.
"Statement" : [ { "Sid" : "Allow access to principals authorized to use Verified Access", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:DescribeKey", "kms:CreateGrant", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "verified-access.region.amazonaws.com", "kms:CallerAccount" : "111122223333" } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid" : "Allow read-only access to key metadata to the account", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource" : "*" } ]
Untuk informasi selengkapnya, lihat Membuat kebijakan kunci dan akses kunci pemecahan masalah di Panduan AWS Key Management Service Pengembang.
Menentukan kunci terkelola pelanggan untuk sumber daya Akses Terverifikasi
Anda dapat menentukan kunci yang dikelola pelanggan untuk menyediakan enkripsi lapisan kedua untuk sumber daya berikut:
Bila Anda membuat salah satu sumber daya ini menggunakan AWS Management Console, Anda dapat menentukan kunci yang dikelola pelanggan di bagian Enkripsi tambahan -- opsional. Selama proses, pilih kotak centang Sesuaikan pengaturan enkripsi (lanjutan), lalu masukkan ID AWS KMS kunci yang ingin Anda gunakan. Ini juga dapat dilakukan ketika memodifikasi sumber daya yang ada, atau dengan menggunakan file. AWS CLI
catatan
Jika kunci terkelola pelanggan yang digunakan untuk menambahkan enkripsi tambahan ke salah satu sumber daya di atas hilang, nilai konfigurasi untuk sumber daya tidak lagi dapat diakses. Namun sumber daya dapat dimodifikasi, dengan menggunakan AWS Management Console or AWS CLI, untuk menerapkan kunci yang dikelola pelanggan baru dan mengatur ulang nilai konfigurasi.
AWS Konteks enkripsi Akses Terverifikasi
Konteks enkripsi adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data. AWS KMS menggunakan konteks enkripsi sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi. Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan.
AWS Konteks enkripsi Akses Terverifikasi
Akses Terverifikasi menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi, di mana kuncinya aws:verified-access:arn
dan nilainya adalah sumber daya Amazon Resource Name (ARN). Di bawah ini adalah konteks enkripsi untuk sumber daya Akses Terverifikasi.
Penyedia kepercayaan Akses Terverifikasi
"encryptionContext": { "aws:verified-access:arn": "arn:aws:ec2:region:111122223333:VerifiedAccessTrustProviderId" }
Grup Akses Terverifikasi
"encryptionContext": { "aws:verified-access:arn": "arn:aws:ec2:region:111122223333:VerifiedAccessGroupId" }
Titik akhir Akses Terverifikasi
"encryptionContext": { "aws:verified-access:arn": "arn:aws:ec2:region:111122223333:VerifiedAccessEndpointId" }
Memantau kunci enkripsi Anda untuk Akses AWS Terverifikasi
Saat Anda menggunakan KMS kunci terkelola pelanggan dengan sumber daya Akses AWS Terverifikasi, Anda dapat menggunakannya AWS CloudTrailuntuk melacak permintaan yang dikirimkan Akses Terverifikasi AWS KMS.
Contoh berikut adalah AWS CloudTrail peristiwa untukCreateGrant
,,,RetireGrant
, dan Decrypt
DescribeKey
GenerateDataKey
, yang memantau KMS operasi yang dipanggil oleh Akses Terverifikasi untuk mengakses data yang dienkripsi oleh kunci terkelola KMS pelanggan Anda: