Protezione dei dati in Amazon Verified Permissions - Autorizzazioni verificate da Amazon
Crittografia dei dati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in Amazon Verified Permissions

Il modello di responsabilità AWS condivisa modello si applica alla protezione dei dati in Amazon Verified Permissions. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che esegue tutto l' Cloud AWS. L'utente è responsabile di mantenere il controllo sui contenuti ospitati su questa infrastruttura. Questo contenuto include le attività di configurazione e gestione della sicurezza per Servizi AWS quello che utilizzi. Per ulteriori informazioni sulla privacy dei dati, vedi le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al Modello di responsabilità condivisa AWS e GDPR nel Blog sulla sicurezza AWS .

  • Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center o AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti.

  • Ti consigliamo di proteggere i tuoi dati nei seguenti modi:

    • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

    • Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2.

    • Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail

    • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

    • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

    • Se necessiti di moduli crittografici convalidati FIPS 140-2 quando accedi ad AWS attraverso un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-2.

  • Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con autorizzazioni verificate o altro Servizi AWS utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.

  • I nomi delle tue azioni non devono includere informazioni sensibili.

  • Inoltre, ti consigliamo vivamente di utilizzare sempre identificatori unici, non modificabili e non riutilizzabili per le tue entità (risorse e principali). In un ambiente di test, puoi scegliere di utilizzare identificatori di entità semplici, come jane o bob per il nome di un'entità di tipo. User Tuttavia, in un sistema di produzione, è fondamentale per motivi di sicurezza utilizzare valori univoci che non possano essere riutilizzati. Ti consigliamo di utilizzare valori come identificatori univoci universali (). UUIDs Ad esempio, si consideri l'utente jane che lascia l'azienda. Successivamente, consenti a qualcun altro di usare il nomejane. Quel nuovo utente ottiene automaticamente l'accesso a tutto ciò che è concesso dalle politiche a cui fanno ancora riferimentoUser::"jane". Verified Permissions e Cedar non riescono a distinguere tra il nuovo utente e l'utente precedente.

    Questa guida si applica sia agli identificatori principali che a quelli di risorse. Utilizza sempre identificatori che siano univoci garantiti e mai riutilizzati per assicurarti di non concedere l'accesso involontariamente a causa della presenza di un vecchio identificatore in una politica.

  • Assicurati che le stringhe che fornisci per definire Long e Decimal i valori rientrino nell'intervallo valido di ogni tipo. Inoltre, assicuratevi che l'utilizzo di qualsiasi operatore aritmetico non produca un valore al di fuori dell'intervallo valido. Se l'intervallo viene superato, l'operazione genera un'eccezione di overflow. Una politica che genera un errore viene ignorata, il che significa che una politica di autorizzazione potrebbe inaspettatamente non consentire l'accesso o una politica di divieto potrebbe inaspettatamente non riuscire a bloccare l'accesso.

Crittografia dei dati

Amazon Verified Permissions crittografa automaticamente tutti i dati dei clienti, ad esempio le politiche, con una chiave gestita dal cliente Chiave gestita da AWS, quindi l'uso di una chiave gestita dal cliente non è né necessario né supportato.