Concessioni Fase 1: creare una chiave gestita dal cliente Fase 2: specificare una chiave gestita dal cliente Contesto di crittografia Monitoraggio delle chiavi di crittografia Ulteriori informazioni

Crittografia dei dati a riposo per Amazon Location Service

Amazon Location Service fornisce la crittografia di default per proteggere i dati sensibili dei clienti archiviati utilizzando AWS chiavi di crittografia di proprietà.

AWS chiavi di proprietà: Amazon Location utilizza queste chiavi per impostazione predefinita per crittografare automaticamente i dati di identificazione personale. Non puoi visualizzare, gestire o utilizzare AWS chiavi possedute o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta AWS chiavi possedute in AWS Key Management Service Guida per gli sviluppatori.

La crittografia predefinita dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.

Sebbene non sia possibile disabilitare questo livello di crittografia o selezionare un tipo di crittografia alternativo, è possibile aggiungere un secondo livello di crittografia rispetto a quello esistente AWS chiavi di crittografia possedute scegliendo una chiave gestita dal cliente al momento della creazione delle risorse di tracker e raccolta di geofence:

Chiavi gestite dal cliente: Amazon Location supporta l'uso di una chiave simmetrica gestita dal cliente che puoi creare, possedere e gestire per aggiungere un secondo livello di crittografia rispetto a quella esistente AWS crittografia proprietaria. Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:
- Stabilire e mantenere le policy delle chiavi
- Stabilire e mantenere IAM politiche e sovvenzioni
- Abilitare e disabilitare le policy delle chiavi
- Ruotare i materiali crittografici delle chiavi
- Aggiungere tag
- Creare alias delle chiavi
- Pianificare l’eliminazione delle chiavi
Per ulteriori informazioni, consulta la chiave gestita dal cliente nella AWS Key Management Service Guida per gli sviluppatori.

La tabella seguente riassume il modo in cui Amazon Location crittografa i dati di identificazione personale.

Tipo di dati	AWS crittografia a chiave proprietaria	Crittografia con chiavi gestite dal cliente (opzionale)
`Position` Una geometria puntuale contenente i dettagli sulla posizione del dispositivo.	Abilitato	Abilitato
`PositionProperties` Un insieme di coppie chiave-valore associate all'aggiornamento della posizione.	Abilitato	Abilitato
`GeofenceGeometry` Una geometria di geofence poligonale che rappresenta l'area geofrecintata.	Abilitato	Abilitato
`DeviceId` L'identificatore del dispositivo specificato durante il caricamento di un aggiornamento della posizione del dispositivo su una risorsa tracker.	Abilitato	Non supportato
`GeofenceId` Un identificatore specificato quando si memorizza una geometria di geofence o un batch di geofence in una determinata raccolta di geofence.	Abilitato	Non supportato

Nota

Amazon Location abilita automaticamente la crittografia a riposo utilizzando AWS chiavi di proprietà per proteggere gratuitamente i dati di identificazione personale.

Tuttavia, AWS KMS si applicano costi per l'utilizzo di una chiave gestita dal cliente. Per ulteriori informazioni sui prezzi, consulta il AWS Key Management Service prezzi.

Per ulteriori informazioni su AWS KMS, vedi Cos'è AWS Key Management Service?

In che modo Amazon Location Service utilizza le sovvenzioni in AWS KMS

Amazon Location richiede una concessione per utilizzare la tua chiave gestita dal cliente.

Quando crei una risorsa di tracciamento o una raccolta di geofence crittografata con una chiave gestita dal cliente, Amazon Location crea una concessione per tuo conto inviando una richiesta a CreateGrant AWS KMS. Sovvenzioni in AWS KMS vengono utilizzati per consentire ad Amazon Location di accedere a una KMS chiave in un account cliente.

Amazon Location richiede la concessione dell'utilizzo del codice gestito dal cliente per le seguenti operazioni interne:

Invia DescribeKeyrichieste a AWS KMS per verificare che l'ID della KMS chiave simmetrica gestita dal cliente inserito durante la creazione di un tracker o di una raccolta di geofence sia valido.
Invia richieste a GenerateDataKeyWithoutPlaintext AWS KMS per generare chiavi dati crittografate dalla chiave gestita dal cliente.
Invia richieste Decrypt a AWS KMS per decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati.

Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Amazon Location non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati. Ad esempio, se tenti di ottenere le posizioni dei dispositivi da un tracker crittografato a cui Amazon Location non può accedere, l'operazione restituirà un AccessDeniedException errore.

Creazione di una chiave gestita dal cliente

Puoi creare una chiave simmetrica gestita dal cliente utilizzando AWS Management Console, oppure AWS KMS APIs.

Per creare una chiave simmetrica gestita dal cliente

Segui i passaggi per la creazione di una chiave simmetrica gestita dal cliente nel AWS Key Management Service Guida per gli sviluppatori.

Policy della chiave

Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestire l'accesso alle chiavi gestite dal cliente nella AWS Key Management Service Guida per gli sviluppatori.

Per utilizzare la tua chiave gestita dai clienti con le tue risorse di Amazon Location, le seguenti API operazioni devono essere consentite nella politica chiave:

kms:CreateGrant: aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una KMS chiave specificata, che consente l'accesso alle operazioni di concessione richieste da Amazon Location. Per ulteriori informazioni sull'utilizzo di Grants, consulta il AWS Key Management Service Guida per gli sviluppatori.

Ciò consente ad Amazon Location di effettuare le seguenti operazioni:
- Chiama GenerateDataKeyWithoutPlainText per generare una chiave dati crittografata e archiviarla, poiché la chiave dati non viene utilizzata immediatamente per crittografare.
- Chiama Decrypt per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.
- Configura un preside in pensione per consentire al servizio di farloRetireGrant.
kms:DescribeKey— Fornisce i dettagli chiave gestiti dal cliente per consentire ad Amazon Location di convalidare la chiave.

Di seguito sono riportati alcuni esempi di policy che puoi aggiungere per Amazon Location:


  "Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to use Amazon Location",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "geo.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
      "Sid" : "Allow read-only access to key metadata to the account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::111122223333:root"
      },
      "Action" : [ 
        "kms:Describe*",
        "kms:Get*",
        "kms:List*",
        "kms:RevokeGrant"
      ],
      "Resource" : "*"
    }
  ]

Per ulteriori informazioni sulla specificazione delle autorizzazioni in una politica, consulta il AWS Key Management Service Guida per gli sviluppatori.

Per ulteriori informazioni sulla risoluzione dei problemi di accesso tramite chiave, consulta la AWS Key Management Service Guida per gli sviluppatori.

Specificare una chiave gestita dal cliente per Amazon Location

È possibile specificare una chiave gestita dal cliente come crittografia di secondo livello per le seguenti risorse:

Quando crei una risorsa, puoi specificare la chiave dati inserendo un KMSID, che Amazon Location utilizza per crittografare i dati personali identificabili memorizzati dalla risorsa.

KMSID: un identificatore chiave per un AWS KMS chiave gestita dal cliente. Inserisci un ID chiave, una chiaveARN, un nome alias o un aliasARN.

Contesto di crittografia di Amazon Location Service

Un contesto di crittografia è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.

AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.

Contesto di crittografia di Amazon Location Service

Amazon Location utilizza lo stesso contesto di crittografia in tutti i casi AWS KMS operazioni crittografiche, in cui la chiave è aws:geo:arn e il valore è la risorsa Amazon Resource Name (ARN).


"encryptionContext": {
    "aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
}

Utilizzo del contesto di crittografia per il monitoraggio

Quando utilizzi una chiave simmetrica gestita dal cliente per crittografare la tua raccolta di tracker o geofence, puoi anche utilizzare il contesto di crittografia nei registri e nei registri di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da AWS CloudTrail o Amazon CloudWatch Logs.

Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente

Puoi utilizzare il contesto di crittografia nelle politiche e IAM nelle policy chiave conditions per controllare l'accesso alla tua chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.

Amazon Location utilizza un vincolo di contesto di crittografia nelle concessioni per controllare l'accesso alla chiave gestita dal cliente nel tuo account o nella tua regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.

Di seguito sono riportati alcuni esempi di istruzioni delle policy delle chiavi per concedere l'accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.


{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},
{
     "Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
         "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:tracker/SAMPLE-Tracker"
          }
     }
}

Monitoraggio delle chiavi di crittografia per Amazon Location Service

Quando usi un AWS KMS chiave gestita dal cliente con le tue risorse Amazon Location Service, che puoi usare AWS CloudTrailo Amazon CloudWatch Logs per tenere traccia delle richieste inviate da Amazon Location AWS KMS.

I seguenti esempi sono AWS CloudTrail eventi perCreateGrant, GenerateDataKeyWithoutPlainTextDecrypt, e per DescribeKey monitorare KMS le operazioni richiamate da Amazon Location per accedere ai dati crittografati dalla chiave gestita dal cliente:

CreateGrant

Quando usi un AWS KMS chiave gestita dal cliente per crittografare le tue risorse di raccolta di tracker o geofence, Amazon Location invia una CreateGrant richiesta per tuo conto per accedere alla chiave nel tuo KMS AWS conto. La sovvenzione creata da Amazon Location è specifica per la risorsa associata a AWS KMS chiave gestita dal cliente. Inoltre, Amazon Location utilizza l'RetireGrantoperazione per rimuovere una concessione quando elimini una risorsa.

L'evento di esempio seguente registra l'operazione CreateGrant:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "geo.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "geo.region.amazonaws.com",
        "operations": [
            "GenerateDataKeyWithoutPlaintext",
            "Decrypt",
            "DescribeKey"
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "granteePrincipal": "geo.region.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

GenerateDataKeyWithoutPlainText

Quando abiliti un AWS KMS chiave gestita dal cliente per la tua risorsa di raccolta di tracker o geofence, Amazon Location crea una chiave di tabella unica. Invia una richiesta a GenerateDataKeyWithoutPlainText AWS KMS che specifica il AWS KMS chiave gestita dal cliente per la risorsa.

L'evento di esempio seguente registra l'operazione GenerateDataKeyWithoutPlainText:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "geo.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKeyWithoutPlaintext",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}

Decrypt

Quando accedi a un tracker crittografato o a una raccolta di geofence, Amazon Location chiama l'Decryptoperazione per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.

L'evento di esempio seguente registra l'operazione Decrypt:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "geo.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:10:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:geo:arn": "arn:aws:geo:us-west-2:111122223333:geofence-collection/SAMPLE-GeofenceCollection"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}

DescribeKey

Amazon Location utilizza l'DescribeKeyoperazione per verificare se AWS KMS nell'account e nella regione è presente una chiave gestita dal cliente associata alla tua raccolta di tracker o geofence.

L'evento di esempio seguente registra l'operazione DescribeKey:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "geo.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

Ulteriori informazioni

Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.

Per ulteriori informazioni su AWS Key Management Service concetti di base, vedi il AWS Key Management Service Guida per gli sviluppatori.
Per ulteriori informazioni sulle migliori pratiche di sicurezza per AWS Key Management Service, vedi il AWS Key Management Service Guida per gli sviluppatori.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Conservazione dei dati

Crittografia dei dati in transito