Proteção de dados no Amazon DevOps Guru - DevOps Guru da Amazon
Criptografia de dadosComo o DevOps Guru usa subsídios em AWS KMSMonitorando suas chaves de criptografia no DevOps GuruCriar uma chave gerenciada pelo clientePrivacidade do tráfego

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção de dados no Amazon DevOps Guru

O modelo de responsabilidade AWS compartilhada se aplica à proteção de dados no Amazon DevOps Guru. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as Data Privacy FAQ. Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS Shared Responsibility Model and RGPD no Blog de segurança da AWS .

Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

  • Use uma autenticação multifator (MFA) com cada conta.

  • Use SSL/TLS para se comunicar com os recursos. AWS Exigimos TLS 1.2 e recomendamos TLS 1.3.

  • Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como trabalhar com CloudTrail trilhas no Guia AWS CloudTrail do usuário.

  • Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.

  • Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.

  • Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3.

É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo Nome. Isso inclui quando você trabalha com o DevOps Guru ou outro Serviços da AWS usando o console, a API ou AWS SDKs. AWS CLI Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.

Criptografia de dados no DevOps Guru

A criptografia é uma parte importante da segurança do DevOps Guru. Algumas criptografias, como aquelas de dados em trânsito, são fornecidas por padrão e não requerem qualquer ação por parte do cliente. Outras criptografias, como aquelas de dados em repouso, podem ser configuradas durante a criação ou compilação do projeto.

  • Criptografia de dados em trânsito: toda a comunicação entre clientes e o DevOps Guru e entre o DevOps Guru e suas dependências posteriores é protegida usando TLS e autenticada usando o processo de assinatura Signature Version 4. Todos os endpoints do DevOps Guru usam certificados gerenciados por. AWS Private Certificate Authority Para obter mais informações, consulte Processo de assinatura do Signature versão 4 e O que é o ACM PCA?.

  • Criptografia de dados em repouso: para todos os AWS recursos analisados pelo DevOps Guru, as CloudWatch métricas, os dados, os recursos e os AWS CloudTrail eventos da Amazon são armazenados usando o Amazon S3 IDs, o Amazon DynamoDB e o Amazon Kinesis. Se AWS CloudFormation as pilhas forem usadas para definir os recursos analisados, os dados da pilha também serão coletados. DevOpsO Guru usa as políticas de retenção de dados do Amazon S3, DynamoDB e Kinesis. Os dados armazenados no Kinesis podem ser retidos por até um ano, dependendo das políticas definidas. Os dados armazenados no Amazon S3 e no DynamoDB são armazenados por um ano.

    Os dados armazenados são criptografados usando os recursos de data-at-rest criptografia do Amazon S3, do DynamoDB e do Kinesis.

    Chaves gerenciadas pelo cliente: o DevOps Guru oferece suporte à criptografia de conteúdo do cliente e metadados confidenciais, como anomalias de registro geradas a partir de CloudWatch registros com chaves gerenciadas pelo cliente. Esse recurso oferece a opção de adicionar uma camada de segurança autogerenciada para ajudar você a atender aos requisitos regulatórios e de conformidade da sua organização. Para obter informações sobre como habilitar chaves gerenciadas pelo cliente em suas configurações do DevOps Guru, consulteAtualizando as configurações de criptografia no DevOps Guru.

    Como você tem controle total dessa camada de criptografia, é possível realizar tarefas como:

    • Estabelecer e manter as políticas de chave

    • Estabelecer e manter subsídios e IAM policies

    • Habilitar e desabilitar políticas de chaves

    • Alternar os materiais de criptografia de chave

    • Adicionar etiquetas

    • Criar réplicas de chaves

    • Programar chaves para exclusão

    Para obter mais informações, consulte Chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor.

    nota

    DevOpsO Guru ativa automaticamente a criptografia em repouso usando chaves AWS próprias para proteger metadados confidenciais sem nenhum custo. No entanto, AWS KMS cobranças são cobradas pelo uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte os AWS Key Management Service preços.

Como o DevOps Guru usa subsídios em AWS KMS

DevOpsO Guru exige uma concessão para usar sua chave gerenciada pelo cliente.

Quando você opta por habilitar a criptografia com uma chave gerenciada pelo cliente, o DevOps Guru cria uma concessão em seu nome enviando uma CreateGrant solicitação para AWS KMS. As concessões AWS KMS são usadas para dar ao DevOps Guru acesso a uma AWS KMS chave na conta de um cliente.

DevOpsO Guru exige que a concessão use sua chave gerenciada pelo cliente para as seguintes operações internas:

  • Envie DescribeKey solicitações para verificar se AWS KMS a ID simétrica da chave KMS gerenciada pelo cliente inserida ao criar um rastreador ou uma coleção de cercas geográficas é válida.

  • Envie GenerateDataKey solicitações AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente.

  • Envie solicitações de descriptografia para AWS KMS descriptografar as chaves de dados criptografadas para que elas possam ser usadas para criptografar seus dados.

É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, o DevOps Guru não poderá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados. Por exemplo, se você tentar obter informações criptografadas de anomalias de log que o DevOps Guru não consegue acessar, a operação retornará um AccessDeniedException erro.

Monitorando suas chaves de criptografia no DevOps Guru

Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos do DevOps Guru, você pode usar AWS CloudTrail nossos CloudWatch registros para rastrear solicitações enviadas pelo DevOps Guru. AWS KMS

Criar uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs

Para criar uma chave gerenciada pelo cliente, consulte Como criar chaves KMS de criptografia simétrica.

Política de chave

As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Para obter mais informações, consulte Autenticação e controle de acesso AWS KMS no Guia do AWS Key Management Service desenvolvedor.

Para usar sua chave gerenciada pelo cliente com seus recursos do DevOps Guru, as seguintes operações de API devem ser permitidas na política de chaves:

  • kms:CreateGrant: Adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma AWS KMS chave especificada, o que permite o acesso às operações de concessão exigidas pelo DevOps Guru. Para obter mais informações sobre o uso de subsídios, consulte o Guia do AWS Key Management Service desenvolvedor.

Isso permite que o DevOps Guru faça o seguinte:

  • Ligue GenerateDataKey para gerar uma chave de dados criptografada e armazená-la, porque a chave de dados não é usada imediatamente para criptografar.

  • Chamar o Decrypt para usar a chave de dados criptografada armazenada para acessar dados criptografados.

  • Configure uma entidade principal aposentada para permitir que o serviço para RetireGrant.

  • Use kms: DescribeKey para fornecer detalhes da chave gerenciada pelo cliente para permitir que o DevOps Guru valide a chave.

A declaração a seguir inclui exemplos de declarações de política que você pode adicionar ao DevOps Guru:

  "Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to use DevOps Guru",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "devops-guru.Region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
      "Sid" : "Allow read-only access to key metadata to the account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::111122223333:root"
      },
      "Action" : [ 
        "kms:Describe*",
        "kms:Get*",
        "kms:List*"
      ],
      "Resource" : "*"
    }
  ]

Privacidade do tráfego

Você pode melhorar a segurança de sua análise de recursos e geração de insights configurando o DevOps Guru para usar uma interface VPC endpoint. Para fazer isso, você não precisa de um gateway da Internet, de um dispositivo NAT ou de um gateway privado virtual. Também não é necessário configurá-lo PrivateLink, embora seja recomendado. Para obter mais informações, consulte DevOpsGuru e interface VPC endpoints ()AWS PrivateLink. Para obter mais informações sobre endpoints de VPC, consulte PrivateLink e AWS PrivateLinkComo acessar os serviços da AWS por meio de. PrivateLink