Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia dei dati a riposo per Amazon Location Service
Amazon Location Service fornisce la crittografia di default per proteggere i dati sensibili dei clienti archiviati utilizzando chiavi AWS di crittografia proprietarie.
-
AWS chiavi di proprietà: Amazon Location utilizza queste chiavi per impostazione predefinita per crittografare automaticamente i dati di identificazione personale. Non puoi visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta la pagina chiavi di proprietàAWS nella Guida per gli sviluppatori di AWS Key Management Service .
La crittografia predefinita dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.
Sebbene non sia possibile disabilitare questo livello di crittografia o selezionare un tipo di crittografia alternativo, è possibile aggiungere un secondo livello di crittografia rispetto alle chiavi di crittografia esistenti AWS scegliendo una chiave gestita dal cliente quando si creano le risorse di raccolta di tracker e geofence:
-
Chiavi gestite dal cliente: Amazon Location supporta l'uso di una chiave simmetrica gestita dal cliente che puoi creare, possedere e gestire per aggiungere un secondo livello di crittografia rispetto alla crittografia di AWS proprietà esistente. Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:
-
Stabilire e mantenere le policy delle chiavi
-
Stabilire e mantenere IAM politiche e sovvenzioni
-
Abilitare e disabilitare le policy delle chiavi
-
Ruotare i materiali crittografici delle chiavi
-
Aggiungere tag
-
Creare alias delle chiavi
-
Pianificare l’eliminazione delle chiavi
Per ulteriori informazioni, consulta Customer Managed Key nella Guida per gli AWS Key Management Service sviluppatori.
-
La tabella seguente riassume il modo in cui Amazon Location crittografa i dati di identificazione personale.
| Tipo di dati | AWS crittografia a chiave proprietaria | Crittografia con chiavi gestite dal cliente (opzionale) |
|---|---|---|
PositionUna geometria puntuale contenente i dettagli sulla posizione del dispositivo. |
Abilitato | Abilitato |
PositionPropertiesUn insieme di coppie chiave-valore associate all'aggiornamento della posizione. |
Abilitato | Abilitato |
GeofenceGeometryUna geometria di geofence poligonale che rappresenta l'area geofrecintata. |
Abilitato | Abilitato |
DeviceIdL'identificatore del dispositivo specificato durante il caricamento di un aggiornamento della posizione del dispositivo su una risorsa tracker. |
Abilitato | Non supportato |
GeofenceIdUn identificatore specificato quando si memorizza una geometria di geofence o un batch di geofence in una determinata raccolta di geofence. |
Abilitato | Non supportato |
Nota
Amazon Location abilita automaticamente la crittografia a riposo utilizzando chiavi AWS proprietarie per proteggere gratuitamente i dati di identificazione personale.
Tuttavia, l'utilizzo di una chiave gestita dal cliente comporta dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta i AWS Key Management Service
prezzi
Per ulteriori informazioni su AWS KMS, consulta Cos'è AWS Key Management Service?
In che modo Amazon Location Service utilizza le sovvenzioni in AWS KMS
Amazon Location richiede una concessione per utilizzare la tua chiave gestita dal cliente.
Quando crei una risorsa di tracciamento o una raccolta di geofence crittografata con una chiave gestita dal cliente, Amazon Location crea una concessione per tuo conto inviando una CreateGrantrichiesta a. AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Location di accedere a una KMS chiave in un account cliente.
Amazon Location richiede la concessione dell'utilizzo della chiave gestita dal cliente per le seguenti operazioni interne:
-
Invia DescribeKeyrichieste AWS KMS a per verificare che l'ID della KMS chiave simmetrica gestita dal cliente inserito durante la creazione di un tracker o di una raccolta di geofence sia valido.
-
Invia GenerateDataKeyWithoutPlaintextrichieste per AWS KMS generare chiavi dati crittografate dalla chiave gestita dal cliente.
-
Invia le richieste Decrypt a per AWS KMS decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati.
Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Amazon Location non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati. Ad esempio, se tenti di ottenere le posizioni dei dispositivi da un tracker crittografato a cui Amazon Location non può accedere, l'operazione restituirà un AccessDeniedException errore.
Creazione di una chiave gestita dal cliente
Puoi creare una chiave simmetrica gestita dal cliente utilizzando AWS Management Console, o il. AWS KMS APIs
Per creare una chiave simmetrica gestita dal cliente
Segui la procedura riportata in Creazione di una chiave simmetrica gestita dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .
Policy della chiave
Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestione dell'accesso alle chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .
Per utilizzare la tua chiave gestita dai clienti con le tue risorse di Amazon Location, le seguenti API operazioni devono essere consentite nella politica chiave:
-
kms:CreateGrant: aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una KMS chiave specificata, che consente l'accesso alle operazioni di concessione richieste da Amazon Location. Per ulteriori informazioni sull'utilizzo di Grants, consulta la Guida per gli AWS Key Management Service sviluppatori.Ciò consente ad Amazon Location di effettuare le seguenti operazioni:
-
Chiama
GenerateDataKeyWithoutPlainTextper generare una chiave dati crittografata e archiviarla, poiché la chiave dati non viene utilizzata immediatamente per crittografare. -
Chiama
Decryptper utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati. -
Configura un preside in pensione per consentire al servizio di farlo
RetireGrant.
-
-
kms:DescribeKey— Fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Location di convalidare la chiave.
Di seguito sono riportati alcuni esempi di policy che puoi aggiungere per Amazon Location:
"Statement" : [ { "Sid" : "Allow access to principals authorized to use Amazon Location", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:DescribeKey", "kms:CreateGrant" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "geo.region.amazonaws.com", "kms:CallerAccount" : "111122223333" } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid" : "Allow read-only access to key metadata to the account", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource" : "*" } ]
Per ulteriori informazioni su come specificare le autorizzazioni in una policy, consulta la Guida per gli sviluppatori di AWS Key Management Service .
Per informazioni sulla Risoluzione dei problemi delle chiavi di accesso consulta la Guida per gli sviluppatori di AWS Key Management Service .
Specificare una chiave gestita dal cliente per Amazon Location
È possibile specificare una chiave gestita dal cliente come crittografia di secondo livello per le seguenti risorse:
Quando crei una risorsa, puoi specificare la chiave dati inserendo un KMSID, che Amazon Location utilizza per crittografare i dati personali identificabili memorizzati dalla risorsa.
-
KMSID: un identificatore chiave per una chiave gestita AWS KMS dal cliente. Inserisci un ID chiave, una chiaveARN, un nome alias o un alias. ARN
Contesto di crittografia di Amazon Location Service
Un contesto di crittografia è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.
AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.
Contesto di crittografia di Amazon Location Service
Amazon Location utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche, dove la chiave è aws:geo:arn e il valore è la risorsa Amazon Resource Name (ARN).
"encryptionContext": { "aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection" }
Utilizzo del contesto di crittografia per il monitoraggio
Quando utilizzi una chiave simmetrica gestita dal cliente per crittografare la tua raccolta di tracker o geofence, puoi anche utilizzare il contesto di crittografia nei registri e nei registri di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da AWS CloudTrail o Amazon CloudWatch Logs.
Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente
Puoi utilizzare il contesto di crittografia nelle politiche e IAM nelle politiche chiave conditions per controllare l'accesso alla tua chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.
Amazon Location utilizza un vincolo di contesto di crittografia nelle concessioni per controllare l'accesso alla chiave gestita dal cliente nel tuo account o nella tua regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.
Di seguito sono riportati alcuni esempi di istruzioni delle policy delle chiavi per concedere l'accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.
{ "Sid": "Enable DescribeKey", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Enable CreateGrant", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:tracker/SAMPLE-Tracker" } } }
Monitoraggio delle chiavi di crittografia per Amazon Location Service
Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse Amazon Location Service, puoi utilizzare AWS CloudTrailo Amazon CloudWatch Logs per tenere traccia delle richieste a cui Amazon Location invia. AWS KMS
Gli esempi seguenti sono AWS CloudTrail eventi per CreateGrant GenerateDataKeyWithoutPlainTextDecrypt, e per DescribeKey monitorare KMS le operazioni chiamate da Amazon Location per accedere ai dati crittografati dalla chiave gestita dal cliente:
Ulteriori informazioni
Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.
-
Per ulteriori informazioni su Concetti base di AWS Key Management Service, consulta la Guida per gli sviluppatori di AWS Key Management Service .
-
Per ulteriori informazioni sulle migliori pratiche di sicurezza per AWS Key Management Service, consulta la Guida per gli AWS Key Management Service sviluppatori.
