Protezione dei dati in AWS X-Ray

AWS X-Ray esegue sempre la crittografia delle tracce e dei relativi dati memorizzati su disco. Quando è necessario controllare e disabilitare le chiavi di crittografia per la conformità o i requisiti interni, è possibile configurare X-Ray per utilizzare una chiave AWS Key Management Service (AWS KMS) per crittografare i dati.

X-Ray fornisce un Chiave gestita da AWS nomeaws/xray. Utilizza questa chiave se desideri controllare l'utilizzo delle chiavi in AWS CloudTrail e non hai bisogno di gestire la chiave stessa. Quando devi gestire l'accesso alla chiave o configurare la rotazione delle chiavi, puoi creare una chiave gestita dal cliente.

Quando si modificano le impostazioni di crittografia, X-Ray impiega del tempo a generare e propagare le chiavi dati. Anche se la nuova chiave è in corso di elaborazione, X-Ray può crittografare i dati con una combinazione di nuove e vecchie impostazioni. I dati esistenti non vengono crittografati nuovamente quando si modificano le impostazioni crittografiche.

Nota

AWS KMSviene addebitato quando X-Ray utilizza una chiave KMS per crittografare o decrittografare i dati di traccia.

• Crittografia predefinita: gratuita.

• Chiave gestita da AWS— Paga per l'uso delle chiavi.

• chiave gestita dal cliente: paga per l'archiviazione e l'utilizzo delle chiavi.

Per ulteriori informazioni, consulta la sezione AWS Key Management ServicePrezzi.

Nota

Le notifiche di X-Ray Insights inviano eventi ad AmazonEventBridge, che attualmente non supporta le chiavi gestite dai clienti. Per ulteriori informazioni, consulta la sezione relativa alla sezione relativa alla EventBridge.

È necessario disporre dell'accesso a livello utente a una chiave gestita dal cliente per configurare X-Ray per utilizzarla e quindi visualizzare le tracce crittografate. Per ulteriori informazioni, consulta Autorizzazioni utente per la crittografia.

CloudWatch console

Per configurare X-Ray per l'utilizzo di una chiave KMS per la crittografia tramite la console CloudWatch

1. Accedi AWS Management Console e apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

2. Scegli Impostazioni nel riquadro di navigazione a sinistra.

3. Scegli Visualizza impostazioni in Crittografia nella sezione Tracce radiografiche.

4. Scegli Modifica nella sezione Configurazione della crittografia.

5. Scegli Usa una chiave KMS.

6. Scegliere una chiave dal menu a discesa:

   • aws/xray — Usa il. Chiave gestita da AWS

   • alias chiave: utilizza una chiave gestita dal cliente nel tuo account.

   • Inserisci manualmente l'ARN della chiave: utilizza una chiave gestita dal cliente in un diverso account. Inserire l'ARN (Amazon Resource Name) completo della chiave nel campo visualizzato.

7. Scegli Aggiorna crittografia.

X-Ray console

Per configurare X-Ray per utilizzare una chiave KMS per la crittografia utilizzando la console X-Ray

1. Apri la console X-Ray.

2. Scegliere Encryption (Crittografia).

3. Scegli Usa una chiave KMS.

4. Scegliere una chiave dal menu a discesa:

   • aws/xray — Usa il. Chiave gestita da AWS

   • alias chiave: utilizza una chiave gestita dal cliente nel tuo account.

   • Inserisci manualmente l'ARN della chiave: utilizza una chiave gestita dal cliente in un diverso account. Inserire l'ARN (Amazon Resource Name) completo della chiave nel campo visualizzato.

5. Seleziona Apply (Applica).

Nota

X-Ray non supporta le chiavi KMS asimmetriche.

Se X-Ray non è in grado di accedere alla chiave di crittografia, interrompe la memorizzazione dei dati. Questo può accadere se l'utente perde l'accesso alla chiave KMS o se disabiliti una chiave attualmente in uso. Quando ciò accade, X-Ray mostra una notifica nella barra di navigazione.

Per configurare le impostazioni di crittografia con l'API X-Ray, consultaConfigurazione delle impostazioni di campionamento, gruppi e crittografia con l'API X-Ray.