Protezione dei dati in Amazon VPC Lattice - Amazon VPC Lattice
Crittografia in transitoCrittografia a riposo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in Amazon VPC Lattice

Il AWS modello di responsabilità condivisa modello di di si applica alla protezione dei dati in Amazon VPC Lattice. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutte le Cloud AWS. L'utente è responsabile del mantenimento del controllo sui contenuti ospitati su questa infrastruttura. Questo contenuto include le attività di configurazione e gestione della sicurezza per Servizi AWS che usi. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta AWS Modello di responsabilità condivisa e post sul GDPR blog sul AWS Blog sulla sicurezza.

Crittografia in transito

VPCLattice è un servizio completamente gestito che consiste in un piano di controllo e un piano dati. Ogni piano ha uno scopo distinto nel servizio. Il piano di controllo fornisce le risorse amministrative APIs utilizzate per creare, leggere/descrivere, aggiornare, eliminare ed elencare (CRUDL) le risorse (ad esempio CreateService eUpdateService). Le comunicazioni verso il piano di controllo VPC Lattice sono protette in transito da. TLS Il piano dati è il VPC Lattice InvokeAPI, che fornisce l'interconnessione tra i servizi. TLScrittografa le comunicazioni verso il piano dati VPC Lattice quando si utilizza o. HTTPS TLS La suite di crittografia e la versione del protocollo utilizzano i valori predefiniti forniti da VPC Lattice e non sono configurabili. Per ulteriori informazioni, consulta Listener HTTPS per servizi VPC Lattice.

Crittografia a riposo

Per impostazione predefinita, la crittografia dei dati inattivi aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.

Crittografia lato server con chiavi gestite Amazon S3 (-S3) SSE

Quando utilizzi la crittografia lato server con chiavi gestite di Amazon S3 SSE (-S3), ogni oggetto viene crittografato con una chiave unica. Come ulteriore protezione, crittografiamo la chiave stessa con una chiave radice che ruotiamo regolarmente. La crittografia lato server di Amazon S3 utilizza uno dei cifrari a blocchi più potenti disponibili, l'Advanced Encryption Standard a 256 bit (-256), per crittografare i dati. AES GCM Per gli oggetti crittografati prima di -, AES - GCM è ancora supportata la decrittografia di tali oggetti. AES CBC Per ulteriori informazioni, consulta Uso della crittografia lato server con le chiavi di crittografia gestite da Amazon S3 (-S3). SSE

Se abiliti la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3) per il tuo bucket S3 per i log di accesso VPC Lattice, crittografiamo automaticamente ogni file di registro di accesso prima che venga archiviato nel tuo bucket S3. Per ulteriori informazioni, consulta Logs sent to Amazon S3 nella CloudWatch Amazon User Guide.

Crittografia lato server con AWS KMS chiavi archiviate in AWS KMS (SSE-KMS)

Crittografia lato server con AWS KMS keys (SSE-KMS) è simile a SSE -S3, ma offre vantaggi e costi aggiuntivi per l'utilizzo di questo servizio. Esistono autorizzazioni separate per AWS KMS chiave che fornisce una protezione aggiuntiva contro l'accesso non autorizzato ai tuoi oggetti in Amazon S3. SSE- fornisce KMS anche una pista di controllo che mostra quando AWS KMS la chiave è stata usata e da chi. Per ulteriori informazioni, vedere Utilizzo della crittografia lato server con AWS Key Management Service (SSE-KMS).

Crittografia e decrittografia della chiave privata del certificato

Il ACM certificato e la chiave privata vengono crittografati utilizzando un AWS KMSchiave gestita con l'alias aws/acm. È possibile visualizzare l'ID della chiave con questo alias nel AWS KMS console sotto AWS chiavi gestite.

VPCLattice non accede direttamente alle tue ACM risorse. Usa AWS TLSConnection Manager per proteggere e accedere alle chiavi private del certificato. Quando si utilizza il ACM certificato per creare un servizio VPC Lattice, VPC Lattice associa il certificato a AWS TLSGestore della connessione. Questo viene fatto creando una sovvenzione in AWS KMS contro il tuo AWS Chiave gestita con il prefisso aws/acm. Una concessione è uno strumento politico che consente a TLS Connection Manager di utilizzare KMS le chiavi nelle operazioni crittografiche. La concessione consente al responsabile del beneficiario (TLSConnection Manager) di richiamare le operazioni di concessione specificate sulla KMS chiave per decrittografare la chiave privata del certificato. TLSConnection Manager utilizza quindi il certificato e la chiave privata decrittografata (in chiaro) per stabilire una connessione sicura (SSL/TLSsessione) con i client dei servizi Lattice. VPC Quando il certificato viene dissociato da un VPC servizio Lattice, la concessione viene ritirata.

Se desideri rimuovere l'accesso alla KMS chiave, ti consigliamo di sostituire o eliminare il certificato dal servizio utilizzando il AWS Management Console o il update-service comando in AWS CLI.

Contesto di crittografia per VPC Lattice

Un contesto di crittografia è un insieme opzionale di coppie chiave-valore che contengono informazioni contestuali sullo scopo per cui potrebbe essere utilizzata la chiave privata. AWS KMS associa il contesto di crittografia ai dati crittografati e lo utilizza come dati autenticati aggiuntivi per supportare la crittografia autenticata.

Quando le TLS chiavi vengono utilizzate con VPC Lattice e TLS Connection manager, il nome del servizio VPC Lattice è incluso nel contesto di crittografia utilizzato per crittografare la chiave inattiva. Puoi verificare per quale servizio VPC Lattice vengono utilizzati il tuo certificato e la tua chiave privata visualizzando il contesto di crittografia nei tuoi CloudTrail registri, come mostrato nella sezione successiva, o guardando la scheda Risorse associate nella console. ACM

Per decrittografare i dati, nella richiesta è incluso lo stesso contesto di crittografia. VPCLattice utilizza lo stesso contesto di crittografia in tutti AWS KMSoperazioni crittografiche, in cui la chiave è aws:vpc-lattice:arn e il valore è Amazon Resource Name (ARN) del VPC servizio Lattice.

L'esempio seguente mostra il contesto di crittografia nell'output di un'operazione come. CreateGrant

"encryptionContextEquals": {
    "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}

Monitoraggio delle chiavi di crittografia per VPC Lattice

Quando si utilizza un AWS è possibile utilizzare una chiave gestita con il servizio VPC Lattice AWS CloudTrailper tenere traccia delle richieste inviate a VPC Lattice AWS KMS.

CreateGrant

Quando aggiungi il tuo ACM certificato a un servizio VPC Lattice, viene inviata una CreateGrant richiesta a tuo nome affinché TLS Connection Manager sia in grado di decrittografare la chiave privata associata al tuo certificato ACM

È possibile visualizzare l'CreateGrantoperazione come evento in CloudTrail, Cronologia eventi,. CreateGrant

Di seguito è riportato un esempio di record di CloudTrail eventi nella cronologia degli eventi dell'CreateGrantoperazione.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::111122223333:user/Alice",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "IAMUser",
                "principalId": "EX_PRINCIPAL_ID",
                "arn": "arn:aws:iam::111122223333:user/Alice",
                "accountId": "111122223333",
                "userName": "Alice"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-06T23:30:50Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "acm.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:18Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "acm.amazonaws.com",
    "userAgent": "acm.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "tlsconnectionmanager.amazonaws.com",
        "keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "operations": [
            "Decrypt"
        ],
        "constraints": {
            "encryptionContextEquals": {
                "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
            }
        },
        "retiringPrincipal": "acm.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ba178361-8ab6-4bdd-9aa2-0d1a44b2974a",
    "eventID": "8d449963-1120-4d0c-9479-f76de11ce609",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Nell'CreateGrantesempio precedente, il beneficiario principale è TLS Connection Manager e il contesto di crittografia include il servizio VPC Lattice. ARN

ListGrants

Puoi usare il tuo ID KMS chiave e l'ID del tuo account per chiamare il. ListGrants API In questo modo viene visualizzato un elenco di tutte le concessioni per la KMS chiave specificata. Per ulteriori informazioni, vedere ListGrants.

Utilizzate il seguente ListGrants comando in AWS CLI per vedere i dettagli di tutte le sovvenzioni.

aws kms list-grants —key-id your-kms-key-id

Di seguito è riportato un output di esempio.

{
    "Grants": [
        {
            "Operations": [
                "Decrypt"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", 
            "Name": "IssuedThroughACM", 
            "RetiringPrincipal": "acm.us-west-2.amazonaws.com", 
            "GranteePrincipal": "tlsconnectionmanager.amazonaws.com", 
            "GrantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", 
            "IssuingAccount": "arn:aws:iam::111122223333:root", 
            "CreationDate": "2023-02-06T23:30:50Z", 
            "Constraints": {
                "encryptionContextEquals": {
                  "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                  "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
                }
            }
        }
    ]
}

Nell'ListGrantsesempio precedente, il principale beneficiario è TLS Connection Manager e il contesto di crittografia ha il VPC servizio Lattice. ARN

Decrypt

VPCLattice utilizza TLS Connection Manager per richiamare l'Decryptoperazione di decrittografia della chiave privata al fine di servire TLS le connessioni nel servizio Lattice. VPC È possibile visualizzare l'Decryptoperazione come un evento in CloudTrailCronologia eventi, Decrypt.

Di seguito è riportato un esempio di record di eventi nella cronologia CloudTrail degli eventi dell'Decryptoperazione.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "tlsconnectionmanager.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "tlsconnectionmanager.amazonaws.com",
    "userAgent": "tlsconnectionmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12345126-30d5-4b28-98b9-9153da559963",
    "eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "eventCategory": "Management"
}