Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia su Amazon MWAA
I seguenti argomenti descrivono come Amazon MWAA protegge i dati a riposo e in transito. Utilizza queste informazioni per scoprire come Amazon MWAA si integra AWS KMS per crittografare i dati inattivi e come i dati vengono crittografati utilizzando il protocollo Transport Layer Security (TLS) in transito.
Crittografia a riposo
Su Amazon MWAA, i dati inattivi sono dati che il servizio salva su supporti persistenti.
Puoi utilizzare una chiave AWS proprietaria per la crittografia dei dati inattivi o, facoltativamente, fornire una chiave gestita dal cliente per una crittografia aggiuntiva quando crei un ambiente. Se scegli di utilizzare una chiave KMS gestita dal cliente, questa deve trovarsi nello stesso account delle altre AWS risorse e servizi che utilizzi con il tuo ambiente.
Per utilizzare una chiave KMS gestita dal cliente, è necessario allegare la dichiarazione politica richiesta per CloudWatch l'accesso alla politica chiave. Quando utilizzi una chiave KMS gestita dal cliente per il tuo ambiente, Amazon MWAA assegna quattro sovvenzioni per tuo conto. Per ulteriori informazioni sulle sovvenzioni che Amazon MWAA attribuisce a una chiave KMS gestita dal cliente, consulta Chiavi gestite dal cliente per la crittografia dei dati.
Se non specifichi una chiave KMS gestita dal cliente, per impostazione predefinita, Amazon MWAA utilizza una chiave KMS di AWS proprietà per crittografare e decrittografare i dati. Ti consigliamo di utilizzare una chiave KMS AWS proprietaria per gestire la crittografia dei dati su Amazon MWAA.
Nota
Paghi per lo storage e l'uso di chiavi KMS AWS possedute o gestite dal cliente su Amazon MWAA. Per ulteriori informazioni, consulta la sezione Prezzi di AWS KMS
Artefatti di crittografia
Specifichi gli artefatti di crittografia utilizzati per la crittografia at rest specificando una chiave di AWS proprietà o una chiave gestita dal cliente quando crei il tuo ambiente Amazon MWAA. Amazon MWAA aggiunge le sovvenzioni necessarie alla chiave specificata.
Amazon S3: i dati di Amazon S3 vengono crittografati a livello di oggetto utilizzando Server-Side Encryption (SSE). La crittografia e la decrittografia di Amazon S3 avvengono nel bucket Amazon S3 in cui sono archiviati il codice DAG e i file di supporto. Gli oggetti vengono crittografati quando vengono caricati su Amazon S3 e decrittografati quando vengono scaricati nell'ambiente Amazon MWAA. Per impostazione predefinita, se utilizzi una chiave KMS gestita dal cliente, Amazon MWAA la utilizza per leggere e decrittografare i dati sul tuo bucket Amazon S3.
CloudWatch Registri: se utilizzi una chiave KMS di AWS proprietà, i log di Apache Airflow inviati a Logs vengono crittografati utilizzando Server-Side Encryption (SSE) con la chiave KMS di proprietà di CloudWatch Logs. CloudWatch AWS Se utilizzi una chiave KMS gestita dal cliente, devi aggiungere una politica chiave alla tua chiave KMS per consentire a Logs di utilizzare la tua chiave. CloudWatch
Amazon SQS: Amazon MWAA crea una coda Amazon SQS per il tuo ambiente. Amazon MWAA gestisce la crittografia dei dati trasmessi da e verso la coda utilizzando Server-Side Encryption (SSE) con una chiave KMS di AWS proprietà o una chiave KMS gestita dal cliente specificata. Devi aggiungere le autorizzazioni Amazon SQS al tuo ruolo di esecuzione indipendentemente dal fatto che tu stia utilizzando una chiave KMS di AWS proprietà o gestita dal cliente.
Aurora PostgreSQL — Amazon MWAA crea un cluster PostgreSQL per il tuo ambiente. Aurora PostgreSQL crittografa i contenuti con una chiave KMS di AWS proprietà o gestita dal cliente utilizzando Server-Side Encryption (SSE). Se utilizzi una chiave KMS gestita dal cliente, Amazon RDS aggiunge almeno due concessioni alla chiave: una per il cluster e una per l'istanza del database. Amazon RDS potrebbe creare ulteriori sovvenzioni se scegli di utilizzare la chiave KMS gestita dal cliente in più ambienti. Per ulteriori informazioni, consulta Protezione dei dati in Amazon RDS.
Crittografia in transito
I dati in transito sono indicati come dati che possono essere intercettati mentre viaggiano sulla rete.
Transport Layer Security (TLS) crittografa gli oggetti Amazon MWAA in transito tra i componenti Apache Airflow dell'ambiente e altri servizi AWS che si integrano con Amazon MWAA, come Amazon S3. Per ulteriori informazioni sulla crittografia di Amazon S3, consulta Protezione dei dati tramite crittografia.
