Crittografia dei dati a riposo per Amazon DataZone

La crittografia predefinita dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.

Amazon DataZone utilizza chiavi AWS di proprietà predefinite per crittografare automaticamente i dati inattivi. Non puoi visualizzare, gestire o controllare l'uso delle chiavi di AWS proprietà. Per ulteriori informazioni, consulta chiavi AWS possedute.

Sebbene non sia possibile disabilitare questo livello di crittografia o selezionare un tipo di crittografia alternativo, puoi aggiungere un secondo livello di crittografia alle chiavi di crittografia di AWS proprietà esistenti scegliendo una chiave gestita dal cliente quando crei i tuoi domini Amazon. DataZone Amazon DataZone supporta l'uso di chiavi simmetriche gestite dal cliente che puoi creare, possedere e gestire per aggiungere un secondo livello di crittografia alla crittografia di AWS proprietà esistente. Poiché hai il pieno controllo di questo livello di crittografia, in esso puoi eseguire le seguenti attività:

• Stabilire e mantenere le politiche chiave

• Stabilire e mantenere IAM politiche e sovvenzioni

• Abilita e disabilita le politiche chiave

• Ruota il materiale crittografico chiave

• Aggiunta di tag

• Crea alias chiave

• Pianifica l'eliminazione delle chiavi

Per ulteriori informazioni, consulta Customer managed keys.

Nota

Amazon abilita DataZone automaticamente la crittografia a riposo utilizzando chiavi AWS di proprietà per proteggere gratuitamente i dati dei clienti.

AWS KMSsi applicano costi per l'utilizzo di chiavi gestite dal cliente. Per ulteriori informazioni sui prezzi, consulta la sezione Prezzi del servizio di gestione delle AWS chiavi.

In che modo Amazon DataZone utilizza le sovvenzioni in AWS KMS

Amazon DataZone richiede tre sovvenzioni per utilizzare la chiave gestita dai clienti. Quando crei un DataZone dominio Amazon crittografato con una chiave gestita dal cliente, Amazon DataZone crea sovvenzioni e sovvenzioni secondarie per tuo conto CreateGrantinviando richieste a. AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon di DataZone accedere a una KMS chiave del tuo account. Amazon DataZone crea le seguenti sovvenzioni per utilizzare la chiave gestita dai clienti per le seguenti operazioni interne:

Una concessione per la crittografia dei dati inattivi per le seguenti operazioni:

• Invia DescribeKeyrichieste AWS KMS a per verificare che l'ID della KMS chiave gestita dal cliente simmetrico inserito durante la creazione di una raccolta di DataZone domini Amazon sia valido.

• Invia GenerateDataKeyrequestsa per AWS KMS generare chiavi dati crittografate dalla tua chiave gestita dal cliente.

• Invia le richieste Decrypt a per AWS KMS decrittografare le chiavi dati crittografate in modo che possano essere utilizzate per crittografare i dati.

• RetireGrantper ritirare la concessione quando il dominio viene eliminato.

Due sovvenzioni per la ricerca e l'individuazione dei dati:

• Sovvenzione 2:

  • DescribeKey

  • GenerateDataKey

  • Crittografa, decrittografa, ReEncrypt

  • CreateGrantper creare borse di studio per bambini per i AWS servizi utilizzati internamente da. DataZone

  • RetireGrant

• Sovvenzione 3:

  • GenerateDataKey

  • Decrypt

  • RetireGrant

Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Amazon DataZone non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati. Ad esempio, se tenti di ottenere dettagli sugli asset di dati a cui Amazon non DataZone può accedere, l'operazione restituirà un AccessDeniedException errore.

Creazione di una chiave gestita dal cliente

Puoi creare una chiave simmetrica gestita dal cliente utilizzando la console di AWS gestione o il. AWS KMS APIs

Per creare una chiave simmetrica gestita dal cliente, segui i passaggi per la creazione di una chiave gestita dal cliente simmetrica nella Key Management Service Developer Guide. AWS

Politica chiave: le politiche chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestire l'accesso alle chiavi gestite dal cliente nella AWS Key Management Service Developer Guide.

Per utilizzare la chiave gestita dai clienti con le tue DataZone risorse Amazon, nella politica chiave devono essere consentite le seguenti API operazioni:

• kms: CreateGrant — aggiunge una concessione a una chiave gestita dal cliente. Le concessioni controllano l'accesso a una KMS chiave specificata, che consente l'accesso alle operazioni di concessione DataZone richieste da Amazon. Per ulteriori informazioni sull'utilizzo di Grants, consulta la AWS Key Management Service Developer Guide.

• kms: DescribeKey — fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon di DataZone convalidare la chiave.

• kms: GenerateDataKey — restituisce una chiave dati simmetrica unica da utilizzare al di fuori di. AWS KMS

• kms:Decrypt — decrittografa il testo cifrato che è stato crittografato da una chiave. KMS

Di seguito sono riportati alcuni esempi di policy policy che puoi aggiungere per Amazon DataZone:

"Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to manage Amazon DataZone",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::<account_id>:root"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant", 
        "kms:GenerateDataKey", 
        "kms:Decrypt"
      ],
      "Resource" : "arn:aws:kms:region:<account_id>:key/key_ID",
    }
  ]
        

Nota

La KMS politica di negazione non viene applicata alle risorse a cui si accede tramite il portale DataZone dati di Amazon.

Per ulteriori informazioni sulla specificazione delle autorizzazioni in una politica, consulta la AWS Key Management Service Developer Guide.

Per ulteriori informazioni sulla risoluzione dei problemi di accesso tramite chiave, consulta la AWS Key Management Service Developer Guide.

Specificare una chiave gestita dal cliente per Amazon DataZone

Contesto DataZone di crittografia Amazon

Un contesto di crittografia è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.

AWS KMSutilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.

Amazon DataZone utilizza il seguente contesto di crittografia:

"encryptionContextSubset": {
    "aws:datazone:domainId": "{root-domain-uuid}"
}
        

Utilizzo del contesto di crittografia per il monitoraggio: quando utilizzi una chiave simmetrica gestita dal cliente per crittografare DataZone Amazon, puoi anche utilizzare il contesto di crittografia nei record e nei log di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da AWS CloudTrail o Amazon CloudWatch Logs.

Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente: puoi utilizzare il contesto di crittografia nelle politiche e IAM nelle politiche chiave come condizioni per controllare l'accesso alla tua chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.

Amazon DataZone utilizza un vincolo di contesto di crittografia nelle concessioni per controllare l'accesso alla chiave gestita dal cliente nel tuo account o nella tua regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.

Di seguito sono riportati alcuni esempi di istruzioni delle policy delle chiavi per concedere l'accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},{
    "Sid": "Enable Decrypt, GenerateDataKey",
     "Effect": "Allow",
     "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
     ],
     "Resource": "*",
     "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:datazone:domainId": "{root-domain-uuid}"
        }
    }
}
        

Monitoraggio delle chiavi di crittografia per Amazon DataZone

Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue DataZone risorse Amazon, puoi utilizzarla AWS CloudTrailper tenere traccia delle richieste DataZone inviate da Amazon AWS KMS. Gli esempi seguenti sono AWS CloudTrail eventi per CreateGrant GenerateDataKeyDecrypt, e per DescribeKey monitorare KMS le operazioni chiamate da Amazon DataZone per accedere ai dati crittografati dalla chiave gestita dal cliente. Quando utilizzi una chiave gestita AWS KMS dal cliente per crittografare il tuo DataZone dominio Amazon, Amazon DataZone invia una CreateGrant richiesta per tuo conto per accedere alla KMS chiave nel tuo AWS account. Le sovvenzioni DataZone create da Amazon sono specifiche per la risorsa associata alla chiave gestita AWS KMS dal cliente. Inoltre, Amazon DataZone utilizza l'RetireGrantoperazione per rimuovere una concessione quando elimini un dominio. L'evento di esempio seguente registra l'operazione CreateGrant:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "datazone.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "constraints": {
            "encryptionContextSubset": {
                "aws:datazone:domainId": "SAMPLE-root-domain-uuid"
            }
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "operations": [
            "Decrypt",
            "GenerateDataKey",
            "RetireGrant",
            "DescribeKey"
        ],
        "granteePrincipal": "datazone.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}
        

Creazione di ambienti Data Lake che coinvolgono cataloghi AWS Glue crittografati

Nei casi d'uso avanzati, quando lavori con un catalogo AWS Glue crittografato, devi concedere l'accesso al DataZone servizio Amazon per utilizzare la tua chiave gestita dal clienteKMS. Puoi farlo aggiornando la tua KMS politica personalizzata e aggiungendo un tag alla chiave. Per concedere l'accesso al DataZone servizio Amazon per lavorare con i dati in un catalogo AWS Glue crittografato, completa quanto segue:

• Aggiungi la seguente politica alla tua KMS chiave personalizzata. Per ulteriori informazioni, vedere Modifica di una policy delle chiavi.

  
  {
    "Sid": "Allow datazone environment roles to use the key",
    "Effect": "Allow",
    "Principal": {
      "AWS": "*"
    },
    "Action": [
      "kms:Decrypt",
      "kms:Describe*",
      "kms:Get*"
    ],
    "Resource": "*",
    "Condition": {
      "StringLike": {
        "aws:PrincipalArn": "arn:aws:iam::*:role/*datazone_usr*"
      }
    }
  }
              

• Aggiungi il seguente tag alla tua KMS chiave personalizzata. Per ulteriori informazioni, consulta Utilizzo dei tag per controllare l'accesso alle KMS chiavi.

  
  key: AmazonDataZoneEnvironment
  value: all