Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Protezione dei dati in Amazon VPC Lattice
Il AWS modello di responsabilità condivisa modello
Crittografia in transito
VPCLattice è un servizio completamente gestito che consiste in un piano di controllo e un piano dati. Ogni piano ha uno scopo distinto nel servizio. Il piano di controllo fornisce le risorse amministrative APIs utilizzate per creare, leggere/descrivere, aggiornare, eliminare ed elencare (CRUDL) le risorse (ad esempio CreateService
eUpdateService
). Le comunicazioni verso il piano di controllo VPC Lattice sono protette in transito da. TLS Il piano dati è il VPC Lattice InvokeAPI, che fornisce l'interconnessione tra i servizi. TLScrittografa le comunicazioni verso il piano dati VPC Lattice quando si utilizza o. HTTPS TLS La suite di crittografia e la versione del protocollo utilizzano i valori predefiniti forniti da VPC Lattice e non sono configurabili. Per ulteriori informazioni, consulta Listener HTTPS per servizi VPC Lattice.
Crittografia a riposo
Per impostazione predefinita, la crittografia dei dati inattivi aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.
Indice
Crittografia lato server con chiavi gestite Amazon S3 (-S3) SSE
Quando utilizzi la crittografia lato server con chiavi gestite di Amazon S3 SSE (-S3), ogni oggetto viene crittografato con una chiave unica. Come ulteriore protezione, crittografiamo la chiave stessa con una chiave radice che ruotiamo regolarmente. La crittografia lato server di Amazon S3 utilizza uno dei cifrari a blocchi più potenti disponibili, l'Advanced Encryption Standard a 256 bit (-256), per crittografare i dati. AES GCM Per gli oggetti crittografati prima di -, AES - GCM è ancora supportata la decrittografia di tali oggetti. AES CBC Per ulteriori informazioni, consulta Uso della crittografia lato server con le chiavi di crittografia gestite da Amazon S3 (-S3). SSE
Se abiliti la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3) per il tuo bucket S3 per i log di accesso VPC Lattice, crittografiamo automaticamente ogni file di registro di accesso prima che venga archiviato nel tuo bucket S3. Per ulteriori informazioni, consulta Logs sent to Amazon S3 nella CloudWatch Amazon User Guide.
Crittografia lato server con AWS KMS chiavi archiviate in AWS KMS (SSE-KMS)
Crittografia lato server con AWS KMS keys (SSE-KMS) è simile a SSE -S3, ma offre vantaggi e costi aggiuntivi per l'utilizzo di questo servizio. Esistono autorizzazioni separate per AWS KMS chiave che fornisce una protezione aggiuntiva contro l'accesso non autorizzato ai tuoi oggetti in Amazon S3. SSE- fornisce KMS anche una pista di controllo che mostra quando AWS KMS la chiave è stata usata e da chi. Per ulteriori informazioni, vedere Utilizzo della crittografia lato server con AWS Key Management Service (SSE-KMS).
Indice
Crittografia e decrittografia della chiave privata del certificato
Il ACM certificato e la chiave privata vengono crittografati utilizzando un AWS KMSchiave gestita con l'alias aws/acm. È possibile visualizzare l'ID della chiave con questo alias nel AWS KMS console sotto AWS chiavi gestite.
VPCLattice non accede direttamente alle tue ACM risorse. Usa AWS TLSConnection Manager per proteggere e accedere alle chiavi private del certificato. Quando si utilizza il ACM certificato per creare un servizio VPC Lattice, VPC Lattice associa il certificato a AWS TLSGestore della connessione. Questo viene fatto creando una sovvenzione in AWS KMS contro il tuo AWS Chiave gestita con il prefisso aws/acm. Una concessione è uno strumento politico che consente a TLS Connection Manager di utilizzare KMS le chiavi nelle operazioni crittografiche. La concessione consente al responsabile del beneficiario (TLSConnection Manager) di richiamare le operazioni di concessione specificate sulla KMS chiave per decrittografare la chiave privata del certificato. TLSConnection Manager utilizza quindi il certificato e la chiave privata decrittografata (in chiaro) per stabilire una connessione sicura (SSL/TLSsessione) con i client dei servizi Lattice. VPC Quando il certificato viene dissociato da un VPC servizio Lattice, la concessione viene ritirata.
Se desideri rimuovere l'accesso alla KMS chiave, ti consigliamo di sostituire o eliminare il certificato dal servizio utilizzando il AWS Management Console o il update-service
comando in AWS CLI.
Contesto di crittografia per VPC Lattice
Un contesto di crittografia è un insieme opzionale di coppie chiave-valore che contengono informazioni contestuali sullo scopo per cui potrebbe essere utilizzata la chiave privata. AWS KMS associa il contesto di crittografia ai dati crittografati e lo utilizza come dati autenticati aggiuntivi per supportare la crittografia autenticata.
Quando le TLS chiavi vengono utilizzate con VPC Lattice e TLS Connection manager, il nome del servizio VPC Lattice è incluso nel contesto di crittografia utilizzato per crittografare la chiave inattiva. Puoi verificare per quale servizio VPC Lattice vengono utilizzati il tuo certificato e la tua chiave privata visualizzando il contesto di crittografia nei tuoi CloudTrail registri, come mostrato nella sezione successiva, o guardando la scheda Risorse associate nella console. ACM
Per decrittografare i dati, nella richiesta è incluso lo stesso contesto di crittografia. VPCLattice utilizza lo stesso contesto di crittografia in tutti AWS KMSoperazioni crittografiche, in cui la chiave è aws:vpc-lattice:arn
e il valore è Amazon Resource Name (ARN) del VPC servizio Lattice.
L'esempio seguente mostra il contesto di crittografia nell'output di un'operazione come. CreateGrant
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}
Monitoraggio delle chiavi di crittografia per VPC Lattice
Quando si utilizza un AWS è possibile utilizzare una chiave gestita con il servizio VPC Lattice AWS CloudTrailper tenere traccia delle richieste inviate a VPC Lattice AWS KMS.
CreateGrant
Quando aggiungi il tuo ACM certificato a un servizio VPC Lattice, viene inviata una CreateGrant
richiesta a tuo nome affinché TLS Connection Manager sia in grado di decrittografare la chiave privata associata al tuo certificato ACM
È possibile visualizzare l'CreateGrant
operazione come evento in CloudTrail, Cronologia eventi,. CreateGrant
Di seguito è riportato un esempio di record di CloudTrail eventi nella cronologia degli eventi dell'CreateGrant
operazione.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE_KEY_ID",
"sessionContext": {
"sessionIssuer": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accountId": "111122223333",
"userName": "Alice"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-06T23:30:50Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "acm.amazonaws.com"
},
"eventTime": "2023-02-07T00:07:18Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "acm.amazonaws.com",
"userAgent": "acm.amazonaws.com",
"requestParameters": {
"granteePrincipal": "tlsconnectionmanager.amazonaws.com",
"keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"operations": [
"Decrypt"
],
"constraints": {
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}
},
"retiringPrincipal": "acm.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"requestID": "ba178361-8ab6-4bdd-9aa2-0d1a44b2974a",
"eventID": "8d449963-1120-4d0c-9479-f76de11ce609",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
Nell'CreateGrant
esempio precedente, il beneficiario principale è TLS Connection Manager e il contesto di crittografia include il servizio VPC Lattice. ARN
ListGrants
Puoi usare il tuo ID KMS chiave e l'ID del tuo account per chiamare il. ListGrants
API In questo modo viene visualizzato un elenco di tutte le concessioni per la KMS chiave specificata. Per ulteriori informazioni, vedere ListGrants.
Utilizzate il seguente ListGrants
comando in AWS CLI per vedere i dettagli di tutte le sovvenzioni.
aws kms list-grants —key-id
your-kms-key-id
Di seguito è riportato un output di esempio.
{
"Grants": [
{
"Operations": [
"Decrypt"
],
"KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Name": "IssuedThroughACM",
"RetiringPrincipal": "acm.us-west-2.amazonaws.com",
"GranteePrincipal": "tlsconnectionmanager.amazonaws.com",
"GrantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
"IssuingAccount": "arn:aws:iam::111122223333:root",
"CreationDate": "2023-02-06T23:30:50Z",
"Constraints": {
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}
}
}
]
}
Nell'ListGrants
esempio precedente, il principale beneficiario è TLS Connection Manager e il contesto di crittografia ha il VPC servizio Lattice. ARN
Decrypt
VPCLattice utilizza TLS Connection Manager per richiamare l'Decrypt
operazione di decrittografia della chiave privata al fine di servire TLS le connessioni nel servizio Lattice. VPC È possibile visualizzare l'Decrypt
operazione come un evento in CloudTrailCronologia eventi, Decrypt.
Di seguito è riportato un esempio di record di eventi nella cronologia CloudTrail degli eventi dell'Decrypt
operazione.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "tlsconnectionmanager.amazonaws.com"
},
"eventTime": "2023-02-07T00:07:23Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "tlsconnectionmanager.amazonaws.com",
"userAgent": "tlsconnectionmanager.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "12345126-30d5-4b28-98b9-9153da559963",
"eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
"eventCategory": "Management"
}