Crittografia a riposo

Per impostazione predefinita, Amazon Managed Service for Prometheus fornisce automaticamente la crittografia a riposo e lo fa utilizzando chiavi di crittografia di proprietà. AWS

• AWS chiavi possedute: Amazon Managed Service for Prometheus utilizza queste chiavi per crittografare automaticamente i dati caricati nel tuo spazio di lavoro. Non puoi visualizzare, gestire o utilizzare chiavi di AWS proprietà o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta la pagina chiavi di proprietàAWS nella Guida per gli sviluppatori di AWS Key Management Service .

La crittografia dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili dei clienti, come le informazioni di identificazione personale. Consente di creare applicazioni ad alto livello di sicurezza che rispettano rigorosi requisiti normativi e di conformità per la crittografia.

In alternativa, puoi scegliere di utilizzare una chiave gestita dal cliente quando crei il tuo spazio di lavoro:

• Chiavi gestite dal cliente: Amazon Managed Service for Prometheus supporta l'uso di una chiave simmetrica gestita dal cliente che puoi creare, possedere e gestire per crittografare i dati nel tuo spazio di lavoro. Poiché hai il pieno controllo di questo tipo di crittografia, puoi eseguire attività come:

  • Stabilire e mantenere le policy delle chiavi

  • Stabilire e mantenere le policy e le sovvenzioni IAM

  • Abilitare e disabilitare le policy delle chiavi

  • Ruotare i materiali crittografici delle chiavi

  • Aggiungere tag

  • Creare alias delle chiavi

  • Pianificare l’eliminazione delle chiavi

  Per ulteriori informazioni, consulta Chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .

Scegli se utilizzare con attenzione le chiavi gestite dal cliente o le chiavi AWS di proprietà. Le aree di lavoro create con chiavi gestite dal cliente non possono essere convertite per utilizzare chiavi AWS di proprietà in un secondo momento (e viceversa).

Nota

Amazon Managed Service for Prometheus abilita automaticamente la crittografia dei dati inattivi AWS utilizzando chiavi di proprietà per proteggere i dati senza costi aggiuntivi.

Tuttavia, l'utilizzo di una chiave AWS KMS gestita dal cliente comporta dei costi. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS Key Management Service.

Per ulteriori informazioni su AWS KMS, consulta Cos'è AWS Key Management Service?

Nota

Le aree di lavoro create con chiavi gestite dal cliente non possono utilizzare raccoglitori gestiti AWSper l'importazione.

In che modo Amazon Managed Service for Prometheus utilizza le sovvenzioni in AWS KMS

Amazon Managed Service for Prometheus richiede tre concessioni da usare per la chiave gestita dal cliente.

Quando crei un'area di lavoro Amazon Managed Service per Prometheus crittografata con una chiave gestita dal cliente, Amazon Managed Service for Prometheus crea le tre sovvenzioni per tuo conto inviando richieste a. CreateGrant AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Managed Service for Prometheus di accedere alla chiave KMS del tuo account, anche quando non viene richiamata direttamente per tuo conto (ad esempio, quando memorizzi dati di metrica che sono stati estratti da un cluster Amazon EKS).

Amazon Managed Service for Prometheus richiede l'utilizzo della chiave gestita dal cliente per le seguenti operazioni interne:

• Invia DescribeKeyrichieste per verificare che la chiave AWS KMS KMS simmetrica gestita dal cliente fornita durante la creazione di uno spazio di lavoro sia valida.

• Invia GenerateDataKeyrichieste per AWS KMS generare chiavi dati crittografate dalla tua chiave gestita dal cliente.

• Invia le richieste Decrypt a per AWS KMS decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati.

Amazon Managed Service for Prometheus crea tre concessioni alla AWS KMS chiave che consentono ad Amazon Managed Service for Prometheus di utilizzare la chiave per tuo conto. Puoi rimuovere l'accesso alla chiave modificando la policy della chiave, disabilitando la chiave o revocando la concessione. È necessario comprendere le conseguenze di queste azioni prima di eseguirle. Ciò può causare la perdita di dati nell'area di lavoro.

Se rimuovi l’accesso a una delle concessioni, Amazon Managed Service for Prometheus non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, né di archiviare nuovi dati inviati allo spazio di lavoro; ciò influisce su tutte le operazioni che dipendono da tali dati. I nuovi dati inviati all'area di lavoro non saranno accessibili e potrebbero andare persi definitivamente.

avvertimento

• Se disabiliti la chiave o rimuovi l'accesso ad Amazon Managed Service for Prometheus nella policy della chiave, i dati dell'area di lavoro non sono più accessibili. I nuovi dati inviati all'area di lavoro non saranno accessibili e potrebbero andare persi definitivamente.

  Puoi accedere ai dati dell'area di lavoro e cominciare a ricevere nuovi dati ripristinando l'accesso di Amazon Managed Service for Prometheus alla chiave.

• Se revochi una concessione, questa non può essere ricreata e i dati nell'area di lavoro vengono persi definitivamente.

Fase 1: creare una chiave gestita dal cliente

Puoi creare una chiave simmetrica gestita dal cliente utilizzando o le API. AWS Management Console AWS KMS Non è necessario che la chiave si trovi nello stesso account dell'area di lavoro di Amazon Managed Service for Prometheus, a condizione che tu fornisca l'accesso corretto tramite la policy, come descritto di seguito.

Per creare una chiave simmetrica gestita dal cliente

Segui la procedura riportata in Creazione di una chiave simmetrica gestita dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .

Policy della chiave

Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestione dell'accesso alle chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .

Per utilizzare la chiave gestita dal cliente con le aree di lavoro di Amazon Managed Service for Prometheus, le seguenti operazioni API devono essere permesse nella policy della chiave:

• kms:CreateGrant: aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una chiave KMS specificata, che consente l'accesso alle operazioni di concessione richieste da Amazon Managed Service for Prometheus. Per ulteriori informazioni sulle autorizzazioni, consulta Utilizzo delle concessioni nella Guida per gli sviluppatori di AWS Key Management Service .

  Ciò consente ad Amazon Managed Service for Prometheus di fare quanto segue:

  • Chiama GenerateDataKey per generare una chiave dati crittografata e archiviarla, poiché la chiave dati non viene utilizzata immediatamente per crittografare.

  • Chiama Decrypt per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.

• kms:DescribeKey: fornisce i dettagli della chiave gestiti dal cliente per consentire ad Amazon Managed Service for Prometheus di convalidare la chiave.

I seguenti sono esempi di dichiarazione di policy che puoi aggiungere per Amazon Managed Service for Prometheus:

  "Statement" : [ 
    {
      "Sid" : "Allow access to Amazon Managed Service for Prometheus principal within your account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "aps.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators - not required for Amazon Managed Service for Prometheus",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    <other statements needed for other non-Amazon Managed Service for Prometheus scenarios>
  ]

• Per ulteriori informazioni su come specificare le autorizzazioni in una policy, consulta la Guida per gli sviluppatori di AWS Key Management Service .

• Per informazioni sulla Risoluzione dei problemi delle chiavi di accesso consulta la Guida per gli sviluppatori di AWS Key Management Service .

Fase 2: Specificazione di una chiave gestita dal cliente per Amazon Managed Service for Prometheus

Quando crei un'area di lavoro, puoi specificare la chiave gestita dal cliente inserendo un ARN chiave KMS che Amazon Managed Service for Prometheus utilizza per crittografare i dati archiviati dall'area di lavoro.

Fase 3: Accesso ai dati da altri servizi, come Amazon Managed Grafana

Questo passaggio è facoltativo: è necessario solo se devi accedere ai dati di Amazon Managed Service for Prometheus da un altro servizio.

I tuoi dati crittografati non sono accessibili da altri servizi, a meno che anche loro abbiano accesso per utilizzare la chiave. AWS KMS Ad esempio, se desideri utilizzare Amazon Managed Grafana per creare una dashboard o un avviso sui tuoi dati, devi consentire ad Amazon Managed Grafana l'accesso alla chiave.

Per consentire ad Amazon Managed Grafana di accedere alla tua chiave gestita dai clienti

1. Nell'elenco delle aree di lavoro Amazon Managed Grafana, seleziona il nome dell'area di lavoro a cui desideri accedere ad Amazon Managed Service for Prometheus. Questo mostra informazioni di riepilogo sul tuo spazio di lavoro Amazon Managed Grafana.

2. Prendi nota del nome del ruolo IAM utilizzato dal tuo spazio di lavoro. Il nome è nel formatoAmazonGrafanaServiceRole-<unique-id>. La console mostra l'ARN completo per il ruolo. Specificherai questo nome nella AWS KMS console in un passaggio successivo.

3. Nell'elenco delle chiavi gestite dai AWS KMS clienti, scegli la chiave gestita dal cliente che hai utilizzato durante la creazione dell'area di lavoro Amazon Managed Service for Prometheus. Si apre la pagina dei dettagli della configurazione chiave.

4. Accanto a Utenti chiave, seleziona il pulsante Aggiungi.

5. Dall'elenco di nomi, scegli il ruolo IAM di Amazon Managed Grafana che hai indicato sopra. Per facilitarne la ricerca, puoi anche effettuare la ricerca in base al nome.

6. Scegli Aggiungi per aggiungere il ruolo IAM all'elenco degli utenti chiave.

Il tuo spazio di lavoro Amazon Managed Grafana può ora accedere ai dati nell'area di lavoro Amazon Managed Service for Prometheus. Puoi aggiungere altri utenti o ruoli agli utenti chiave per consentire ad altri servizi di accedere al tuo spazio di lavoro.

Contesto di crittografia di Amazon Managed Service for Prometheus

Un contesto di crittografia è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.

AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.

Contesto di crittografia di Amazon Managed Service per Prometheus

Amazon Managed Service for Prometheus utilizza lo stesso contesto di crittografia in AWS KMS tutte le operazioni crittografiche, in cui la chiave è aws:amp:arn e il valore è l'Amazon Resource Name (ARN) dell'area di lavoro.

"encryptionContext": {
    "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
}

Utilizzo del contesto di crittografia per il monitoraggio

Quando si utilizza una chiave simmetrica gestita dal cliente per crittografare i dati dell'area di lavoro, è possibile utilizzare il contesto di crittografia anche nei record e nei log di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da AWS CloudTrail o Amazon CloudWatch Logs.

Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente

È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come conditions per controllare l'accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.

Amazon Managed Service for Prometheus utilizza un vincolo del contesto di crittografia nelle concessioni per controllare l'accesso alla chiave gestita dal cliente nel tuo account o Regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.

Di seguito sono riportati alcuni esempi di istruzioni delle policy delle chiavi per concedere l'accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},
{
     "Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
         "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
         "StringEquals": {
             "kms:EncryptionContext:aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
          }
     }
}

Monitoraggio delle chiavi di crittografia per Amazon Managed Service for Prometheus

Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue aree di lavoro Amazon Managed Service for Prometheus, puoi utilizzare AWS CloudTrailAmazon CloudWatch Logs per tenere traccia delle richieste inviate da Amazon Managed Service for Prometheus. AWS KMS

Gli esempi seguenti sono AWS CloudTrail eventi per CreateGrant GenerateDataKeyDecrypt, e per DescribeKey monitorare le operazioni KMS chiamate da Amazon Managed Service for Prometheus per accedere ai dati crittografati dalla chiave gestita dal cliente:

CreateGrant

Quando utilizzi una chiave gestita AWS KMS dal cliente per crittografare il tuo spazio di lavoro, Amazon Managed Service for Prometheus invia tre CreateGrant richieste per tuo conto per accedere alla chiave KMS che hai specificato. Le concessioni create da Amazon Managed Service for Prometheus sono specifiche per la risorsa associata alla chiave gestita dal cliente AWS KMS .

L'evento di esempio seguente registra l'operazione CreateGrant:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "TESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE-KEY-ID1",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "TESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "aps.region.amazonaws.com",
        "operations": [
            "GenerateDataKey",
            "Decrypt",
            "DescribeKey"
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "granteePrincipal": "aps.region.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

GenerateDataKey

Quando abiliti una chiave gestita AWS KMS dal cliente per il tuo spazio di lavoro, Amazon Managed Service for Prometheus crea una chiave unica. Invia una GenerateDataKey richiesta a AWS KMS cui specifica la chiave gestita dal AWS KMS cliente per la risorsa.

L'evento di esempio seguente registra l'operazione GenerateDataKey:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
        },
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}

Decrypt

Quando viene generata una query su un'area di lavoro crittografata, Amazon Managed Service for Prometheus richiama l'operazione Decrypt per utilizzare la chiave dati crittografata memorizzata e accedere ai dati crittografati.

L'evento di esempio seguente registra l'operazione Decrypt:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:10:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:aps:arn": "arn:aws:aps:us-west-2:111122223333:workspace/ws-sample-1234-abcd-56ef-7890abcd12ef"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}

DescribeKey

Amazon Managed Service for Prometheus utilizza l'operazione DescribeKey per verificare se la chiave gestita dal cliente associata AWS KMS al tuo spazio di lavoro esiste nell'account e nella regione.

L'evento di esempio seguente registra l'operazione DescribeKey:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "TESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE-KEY-ID1",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "TESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "aps.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

Ulteriori informazioni

Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.

• Per ulteriori informazioni su Concetti base di AWS Key Management Service, consulta la Guida per gli sviluppatori di AWS Key Management Service .

• Per ulteriori informazioni sulle migliori pratiche di sicurezza per AWS Key Management Service, consulta la Guida per gli AWS Key Management Service sviluppatori.