As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção de dados no AmazonDevOps Guru
O modelo de responsabilidadeAWS compartilhada modelo
Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com o AWS IAM Identity Center (successor to AWS Single Sign-On) ou o AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use uma autenticação multifator (MFA) com cada conta.
-
Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Configure o registro em log das atividades da API e do usuário com o AWS CloudTrail.
-
Use as soluções de criptografia da AWS, juntamente com todos os controles de segurança padrão dos Serviços da AWS.
-
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
-
Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar a AWS por meio de uma interface de linha de comando ou uma API, use um endpoint do FIPS. Para ter mais informações sobre endpoints do FIPS, consulte Federal Information Processing Standard (FIPS) 140-2
.
É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de email dos seus clientes, em marcações ou campos de formato livre, como um campo Name (Nome). Isso inclui quando você trabalha com oDevOps Guru ou outroServiços da AWS usando o console, a API ouAWS os SDKs.AWS CLI Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.
Criptografia de dados noDevOps Guru
A criptografia é uma parte importante da segurança doDevOps Guru. Algumas criptografias, como para dados em trânsito, são fornecidas por padrão e não exigem que você faça nada. Outra criptografia, como para dados em repouso, que você pode configurar ao criar seu projeto ou compilação.
-
Criptografia de dados em repouso: para todos osAWS recursos analisados peloDevOps Guru, asCloudWatch métricas e os dados da Amazon, os IDs de recursos e osAWS CloudTrail eventos são armazenados usando o Amazon S3, o Amazon DynamoDB e o Amazon Kinesis. SeAWS CloudFormation as pilhas forem usadas para definir os recursos analisados, os dados da pilha também serão coletados. DevOpsO Guru usa as políticas de retenção de dados do Amazon S3, DynamoDB e Kinesis. Os dados armazenados no Kinesis podem ser retidos por até um ano e dependem das políticas definidas. Os dados armazenados no Amazon S3 e no DynamoDB são armazenados por um ano.
Os dados armazenados são criptografados usando os recursos dedata-at-rest criptografia do Amazon S3, DynamoDB e Kinesis.
-
Criptografia de dados em trânsito: toda comunicação entre clientes e oDevOps Guru e entre oDevOps Guru e suas dependências posteriores é protegida usando TLS e autenticada usando o processo de assinatura Signature Versão 4. Todos os endpoints doDevOps Guru usam certificados gerenciados peloAWS Private Certificate Authority. Para obter mais informações, consulte Processo de assinatura do Signature versão 4 e O que é o ACM PCA?.
Privacidade do tráfego
É possível melhorar a segurança da análise de recursos e da geração de insights configurando oDevOps Guru para usar um VPC endpoint de interface. Para fazer isso, você não precisa de um gateway da Internet, de um dispositivo NAT ou de um gateway privado virtual. Também não é necessário configurá-loPrivateLink, embora seja recomendado. Para obter mais informações, consulte DevOpsEndpoints VPC Guru e interface (AWS PrivateLink). Para obter mais informações sobrePrivateLink os endpoints da VPC, consulte AWSPrivateLink