As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção de dados no Amazon DevOps Guru
O modelo de responsabilidade AWS compartilhada
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use a autenticação multifator (MFA) com cada conta.
-
UseSSL/TLSpara se comunicar com AWS os recursos. Exigimos TLS 1,2 e recomendamos TLS 1,3.
-
Configure API e registre as atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como trabalhar com CloudTrail trilhas no Guia AWS CloudTrail do usuário.
-
Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
-
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
-
Se você precisar de FIPS 140-3 módulos criptográficos validados ao acessar AWS por meio de uma interface de linha de comando ou umaAPI, use um endpoint. FIPS Para obter mais informações sobre os FIPS endpoints disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3
.
É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Nome. Isso inclui quando você trabalha com o DevOps Guru ou outro Serviços da AWS usando o console,, API AWS CLI, ou AWS SDKs. Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é altamente recomendável que você não inclua informações de credenciais no URL para validar sua solicitação para esse servidor.
Criptografia de dados no DevOps Guru
A criptografia é uma parte importante da segurança do DevOps Guru. Algumas criptografias, como aquelas de dados em trânsito, são fornecidas por padrão e não requerem qualquer ação por parte do cliente. Outras criptografias, como aquelas de dados em repouso, podem ser configuradas durante a criação ou compilação do projeto.
-
Criptografia de dados em trânsito: toda a comunicação entre clientes e o DevOps Guru e entre o DevOps Guru e suas dependências posteriores é protegida TLS e autenticada usando o processo de assinatura Signature Version 4. Todos os endpoints do DevOps Guru usam certificados gerenciados por. AWS Private Certificate Authority Para obter mais informações, consulte Processo de assinatura da versão 4 e O que é ACM PCA.
-
Criptografia de dados em repouso: para todos os AWS recursos analisados pelo DevOps Guru, as CloudWatch métricas, os dados, os recursos e os AWS CloudTrail eventos da Amazon são armazenados usando o Amazon S3IDs, o Amazon DynamoDB e o Amazon Kinesis. Se AWS CloudFormation as pilhas forem usadas para definir os recursos analisados, os dados da pilha também serão coletados. DevOpsO Guru usa as políticas de retenção de dados do Amazon S3, DynamoDB e Kinesis. Os dados armazenados no Kinesis podem ser retidos por até um ano, dependendo das políticas definidas. Os dados armazenados no Amazon S3 e no DynamoDB são armazenados por um ano.
Os dados armazenados são criptografados usando os recursos de data-at-rest criptografia do Amazon S3, DynamoDB e Kinesis.
Chaves gerenciadas pelo cliente: o DevOps Guru oferece suporte à criptografia de conteúdo do cliente e metadados confidenciais, como anomalias de registro geradas a partir de CloudWatch registros com chaves gerenciadas pelo cliente. Esse recurso oferece a opção de adicionar uma camada de segurança autogerenciada para ajudar você a atender aos requisitos regulatórios e de conformidade da sua organização. Para obter informações sobre como habilitar chaves gerenciadas pelo cliente em suas configurações do DevOps Guru, consulteAtualizar as configurações de criptografia no DevOps Guru.
Como você tem controle total dessa camada de criptografia, é possível realizar tarefas como:
Estabelecer e manter as políticas de chave
Estabelecendo e mantendo IAM políticas e subsídios
Habilitar e desabilitar políticas de chaves
Alternar os materiais de criptografia de chave
Adicionar etiquetas
Criar réplicas de chaves
Programar chaves para exclusão
Para obter mais informações, consulte Chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor.
nota
DevOpsO Guru ativa automaticamente a criptografia em repouso usando chaves AWS próprias para proteger metadados confidenciais sem nenhum custo. No entanto, AWS KMS cobranças são aplicadas pelo uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte os AWS Key Management Service preços.
Como o DevOps Guru usa subsídios em AWS KMS
DevOpsO Guru exige uma concessão para usar sua chave gerenciada pelo cliente.
Quando você opta por ativar a criptografia com uma chave gerenciada pelo cliente, o DevOps Guru cria uma concessão em seu nome enviando uma CreateGrant solicitação para AWS KMS. As concessões AWS KMS são usadas para dar ao DevOps Guru acesso a uma AWS KMS chave na conta de um cliente.
DevOpsO Guru exige que a concessão use sua chave gerenciada pelo cliente para as seguintes operações internas:
Envie DescribeKey solicitações AWS KMS para verificar se o ID simétrico da KMS chave gerenciada pelo cliente inserido ao criar um rastreador ou uma coleção de cercas geográficas é válido.
Envie GenerateDataKey solicitações AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente.
Envie solicitações de descriptografia para AWS KMS descriptografar as chaves de dados criptografadas para que elas possam ser usadas para criptografar seus dados.
É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, o DevOps Guru não poderá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados. Por exemplo, se você tentar obter informações criptografadas de anomalias de log que o DevOps Guru não consegue acessar, a operação retornará um AccessDeniedException erro.
Monitorando suas chaves de criptografia no DevOps Guru
Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos do DevOps Guru, você pode usar AWS CloudTrail nossos CloudWatch registros para rastrear solicitações enviadas pelo DevOps Guru. AWS KMS
Criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs
Para criar uma chave simétrica gerenciada pelo cliente, consulte Criação de chaves de criptografia KMS simétricas.
Política de chave
As políticas de chaves controlam o acesso à chave gerenciada pelo seu cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chaves. Para obter mais informações, consulte Autenticação e controle de acesso AWS KMS no Guia do AWS Key Management Service desenvolvedor.
Para usar sua chave gerenciada pelo cliente com seus recursos do DevOps Guru, as seguintes API operações devem ser permitidas na política de chaves:
kms:CreateGrant
: Adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma AWS KMS chave especificada, o que permite o acesso às operações de concessão exigidas pelo DevOps Guru. Para obter mais informações sobre o uso de subsídios, consulte o Guia do AWS Key Management Service desenvolvedor.
Isso permite que o DevOps Guru faça o seguinte:
Ligue GenerateDataKey para gerar uma chave de dados criptografada e armazená-la, porque a chave de dados não é usada imediatamente para criptografar.
Chamar o Decrypt para usar a chave de dados criptografada armazenada para acessar dados criptografados.
Configure um diretor aposentado para permitir que o serviço. RetireGrant
Use kms: DescribeKey para fornecer detalhes da chave gerenciada pelo cliente para permitir que o DevOps Guru valide a chave.
A declaração a seguir inclui exemplos de declarações de política que você pode adicionar ao DevOps Guru:
"Statement" : [ { "Sid" : "Allow access to principals authorized to use DevOps Guru", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:DescribeKey", "kms:CreateGrant" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "devops-guru.
Region
.amazonaws.com", "kms:CallerAccount" : "111122223333" } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid" : "Allow read-only access to key metadata to the account", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:Describe*", "kms:Get*", "kms:List*" ], "Resource" : "*" } ]
Privacidade do tráfego
Você pode melhorar a segurança de sua análise de recursos e geração de insights configurando o DevOps Guru para usar um endpoint de interfaceVPC. Para fazer isso, você não precisa de um gateway de internet, NAT dispositivo ou gateway privado virtual. Também não é necessário configurá-lo PrivateLink, embora seja recomendado. Para obter mais informações, consulte DevOpsGuru e VPC endpoints de interface ()AWS PrivateLink. Para obter mais informações sobre PrivateLink VPC endpoints, consulte AWS
PrivateLink