Protezione dei dati in Amazon Forecast

Il modello di responsabilità AWS condivisa modello di di si applica alla protezione dei dati in Amazon Forecast. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al Modello di responsabilità condivisa AWS e GDPR nel Blog sulla sicurezza AWS .

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

• Utilizza l'autenticazione a più fattori (MFA) con ogni account.

• Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.

• Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail

• Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

• Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

• Se hai bisogno di moduli crittografici convalidati FIPS 140-2 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-2.

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con Forecast o altro Servizi AWS utilizzando la console, l'API o AWS gli SDK. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.

Crittografia dei dati inattivi

In Amazon Forecast, la configurazione della crittografia viene fornita durante le CreatePredictor operazioni CreateDataset e. Se nell'operazione viene fornita una configurazione di crittografia, nell' CreateDataset operazione vengono utilizzati i ruoli CMK e IAM per la CreateDatasetImportJob crittografia a riposo.

Ad esempio, se fornisci il KMS KeyArn e un della tua chiave RoleArn nell' EncryptionConfig istruzione dell' CreateDataset operazione, Forecast assumerà tale ruolo e utilizzerà la chiave per crittografare il set di dati. Se non viene fornita alcuna configurazione, Forecast utilizza le chiavi di servizio predefinite per la crittografia. Inoltre, se si forniscono le EncryptionConfig informazioni per l' CreatePredictor operazione, tutte le operazioni successive, ad esempio CreateForecast e CreatePredictorExplanability CreatePredictorBacktestExportJob, utilizzeranno la stessa configurazione per eseguire la crittografia a riposo. Anche in questo caso, se non si fornisce una configurazione di crittografia, Forecast utilizzerà la crittografia del servizio predefinita.

Per tutti i dati archiviati nel bucket Amazon S3, i dati vengono crittografati con la chiave Amazon S3 predefinita. Puoi anche utilizzare la tua AWS KMS chiave per crittografare i tuoi dati e consentire a Forecast di accedere a questa chiave. Per informazioni sulla crittografia dei dati in Amazon S3, consulta Protezione dei dati tramite crittografia. Per informazioni sulla gestione della tua AWS KMS chiave, consulta Managing keys nella AWS Key Management Service Developer Guide.

Crittografia in transito ed elaborazione

Amazon Forecast utilizza TLS con AWS certificati per crittografare tutti i dati inviati ad altri AWS servizi. Qualsiasi comunicazione con altri AWS servizi avviene tramite HTTPS e gli endpoint Forecast supportano solo connessioni sicure tramite HTTPS.

Amazon Forecast copia i dati dal tuo account e li elabora in un AWS sistema interno. Durante l'elaborazione dei dati, Forecast crittografa i dati con una AWS KMS chiave Forecast o qualsiasi AWS KMS chiave fornita dall'utente.

In che modo Amazon Forecast utilizza le sovvenzioni in KMS AWS

Amazon Forecast richiede una concessione per utilizzare la chiave gestita dal cliente.

Forecast crea una concessione utilizzando il ruolo IAM che viene passato durante EncryptionConfigl'CreateDatasetoperazione CreatePredictoror. Forecast assume il ruolo ed esegue un'operazione di creazione di sovvenzioni per tuo conto. Vedi Configurare il ruolo IAM per maggiori dettagli.

Tuttavia, quando crei un predittore crittografato con una chiave gestita dal cliente, Amazon Forecast crea una sovvenzione per tuo conto inviando una CreateGrantrichiesta a AWS KMS. Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Forecast di accedere a una AWS KMS chiave in un account cliente.

Amazon Forecast richiede la concessione per poter utilizzare la chiave gestita dal cliente a cui inviare richieste Decrypt per leggere gli AWS KMS artefatti crittografati del set di dati. Forecast utilizza la concessione anche per inviare GenerateDataKey richieste AWS KMS a per crittografare gli artefatti di addestramento su Amazon S3.

Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Amazon Forecast non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati. Ad esempio, se tenti di eseguire l' CreateForecast operazione su un predittore crittografato a cui Amazon Forecast non può accedere, l'operazione restituirà un AccessDeniedException errore.

Creazione di una chiave gestita dal cliente

Puoi creare una chiave simmetrica gestita dal cliente utilizzando AWS Management Console o l'API. AWS KMS Per creare una chiave simmetrica gestita dal cliente, segui i passaggi per la creazione di una chiave gestita dal cliente simmetrica nella Guida per gli sviluppatori.AWS Key Management Service

Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestione dell'accesso alle chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .

Per utilizzare la chiave gestita dal cliente con le risorse Amazon Forecast, le seguenti operazioni API devono essere consentite nella politica chiave:

• kms: DescribeKey — Fornisce i dettagli chiave gestiti dal cliente che consentono ad Amazon Forecast di convalidare la chiave.

• kms: CreateGrant — Aggiunge una concessione a una chiave gestita dal cliente. Grants controlla l'accesso a una AWS KMS chiave specificata, che consente l'accesso alle operazioni di concessione richieste da Amazon Forecast. Questa operazione consente ad Amazon Forecast di GenerateDataKey effettuare chiamate per generare una chiave dati crittografata e archiviarla, poiché la chiave dati non viene utilizzata immediatamente per la crittografia. Inoltre, l'operazione consente ad Amazon Forecast di effettuare chiamate Decrypt in modo da poter utilizzare la chiave dati crittografata memorizzata e accedere ai dati crittografati.

• kms: RetireGrant - Ritira tutte le sovvenzioni fornite durante l'CreateGrantoperazione una volta completata l'operazione.

Nota

Amazon Forecast esegue kms:Decrypt e kms:GenerateDataKey convalida l'identità del chiamante. Riceverai un messaggio AccessDeniedException nel caso in cui il chiamante non disponga delle autorizzazioni pertinenti. La politica chiave dovrebbe inoltre assomigliare al codice seguente:

"Effect": "Allow",
"Principal": {
    "AWS": “AWS Invoking Identity”
},
"Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey”
    ],
    "Resource": "*"
}

Per maggiori dettagli, consulta IAM Policy.

Di seguito sono riportati alcuni esempi di policy che puoi aggiungere per Amazon Forecast. Queste sono le autorizzazioni minime richieste, che possono essere aggiunte anche utilizzando le politiche IAM.

  "Statement" : [ 
    {"Sid" : "Allow access to principals authorized to use Amazon Forecast",
      "Effect" : "Allow",
      "Principal" : {"AWS" : "arn:aws:iam::111122223333:role/ROLE_PASSED_TO_FORECAST"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:RetireGrant"
      ],
      "Resource" : "*",
      "Condition" : {"StringEquals" : {"kms:ViaService" : "forecast.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {"Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    }
  ]

Consulta la Guida per gli AWS Key Management Service sviluppatori per ulteriori informazioni sulla specificazione delle autorizzazioni in una policy e sulla risoluzione dei problemi di accesso tramite chiave.

Monitoraggio delle chiavi di crittografia per Amazon Forecast Service

Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse Amazon Forecast Service, puoi utilizzare AWS CloudTrailo Amazon CloudWatch Logs per tenere traccia delle richieste a cui Forecast invia. AWS KMS Gli esempi seguenti sono AWS CloudTrail eventi per e per CreateGrant DescribeKey monitorare AWS KMS le operazioni richiamate da Amazon Forecast per accedere ai dati crittografati dalla chiave gestita dal cliente. RetireGrant

DescribeKey

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T21:16:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T21:16:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}

CreateGrant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T23:10:27Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T23:10:27Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "Decrypt",
            "GenerateDataKey"
        ],
        "granteePrincipal": "AWS Internal",
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}

RetireGrant

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-06T04:56:14Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-06T04:56:14Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "RetireGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}