Proteção de dados no Amazon DevOps Guru - DevOps Guru da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção de dados no Amazon DevOps Guru

O modelo de responsabilidade AWS compartilhada se aplica à proteção de dados no Amazon DevOps Guru. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para ter mais informações sobre a privacidade de dados, consulte as Perguntas frequentes sobre privacidade de dados. Para ter mais informações sobre a proteção de dados na Europa, consulte a publicação no blog AWS Shared Responsibility Model and GDPR no Blog de segurança da AWS .

Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

  • Use uma autenticação multifator (MFA) com cada conta.

  • Use SSL/TLS para se comunicar com os recursos. AWS Exigimos TLS 1.2 e recomendamos TLS 1.3.

  • Configure a API e o registro de atividades do usuário com AWS CloudTrail.

  • Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.

  • Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.

  • Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para ter mais informações sobre endpoints do FIPS, consulte Federal Information Processing Standard (FIPS) 140-2.

É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Nome. Isso inclui quando você trabalha com o DevOps Guru ou outros Serviços da AWS usando o console, a API ou os AWS SDKs. AWS CLI Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.

Criptografia de dados no DevOps Guru

A criptografia é uma parte importante da segurança do DevOps Guru. Algumas criptografias, como aquelas de dados em trânsito, são fornecidas por padrão e não requerem qualquer ação por parte do cliente. Outras criptografias, como aquelas de dados em repouso, podem ser configuradas durante a criação ou compilação do projeto.

  • Criptografia de dados em trânsito: toda a comunicação entre clientes e o DevOps Guru e entre o DevOps Guru e suas dependências posteriores é protegida usando TLS e autenticada usando o processo de assinatura Signature Version 4. Todos os endpoints do DevOps Guru usam certificados gerenciados por. AWS Private Certificate Authority Para obter mais informações, consulte Processo de assinatura do Signature versão 4 e O que é o ACM PCA?.

  • Criptografia de dados em repouso: para todos os AWS recursos analisados pelo DevOps Guru, as CloudWatch métricas e os dados da Amazon, os IDs de recursos e os AWS CloudTrail eventos são armazenados usando o Amazon S3, o Amazon DynamoDB e o Amazon Kinesis. Se AWS CloudFormation as pilhas forem usadas para definir os recursos analisados, os dados da pilha também serão coletados. DevOpsO Guru usa as políticas de retenção de dados do Amazon S3, DynamoDB e Kinesis. Os dados armazenados no Kinesis podem ser retidos por até um ano, dependendo das políticas definidas. Os dados armazenados no Amazon S3 e no DynamoDB são armazenados por um ano.

    Os dados armazenados são criptografados usando os recursos de data-at-rest criptografia do Amazon S3, do DynamoDB e do Kinesis.

    Chaves gerenciadas pelo cliente: o DevOps Guru oferece suporte à criptografia de conteúdo do cliente e metadados confidenciais, como anomalias de registro geradas a partir de CloudWatch registros com chaves gerenciadas pelo cliente. Esse recurso oferece a opção de adicionar uma camada de segurança autogerenciada para ajudar você a atender aos requisitos regulatórios e de conformidade da sua organização. Para obter informações sobre como habilitar chaves gerenciadas pelo cliente em suas configurações do DevOps Guru, consulteAtualizar as configurações de criptografia no DevOps Guru.

    Como você tem controle total dessa camada de criptografia, você pode realizar tarefas como:

    • Estabelecer e manter as principais políticas

    • Estabelecer e manter políticas e subsídios do IAM

    • Habilitar e desabilitar políticas de chaves

    • Alternar os materiais de criptografia chave

    • Adicionar etiquetas

    • Criar aliases chaves

    • Programar chaves para exclusão

    Para obter mais informações, consulte Chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor.

    nota

    DevOpsO Guru ativa automaticamente a criptografia em repouso usando chaves AWS próprias para proteger metadados confidenciais sem nenhum custo. No entanto, AWS KMS cobranças são cobradas pelo uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte os AWS Key Management Service preços.

Como o DevOps Guru usa subsídios em AWS KMS

DevOpsO Guru exige uma concessão para usar sua chave gerenciada pelo cliente.

Quando você opta por habilitar a criptografia com uma chave gerenciada pelo cliente, o DevOps Guru cria uma concessão em seu nome enviando uma CreateGrant solicitação para AWS KMS. As concessões AWS KMS são usadas para dar ao DevOps Guru acesso a uma AWS KMS chave na conta de um cliente.

DevOpsO Guru exige que a concessão use sua chave gerenciada pelo cliente para as seguintes operações internas:

  • Envie DescribeKey solicitações para verificar se AWS KMS a ID simétrica da chave KMS gerenciada pelo cliente inserida ao criar um rastreador ou uma coleção de cercas geográficas é válida.

  • Envie GenerateDataKey solicitações AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente.

  • Envie solicitações de descriptografia para AWS KMS descriptografar as chaves de dados criptografadas para que elas possam ser usadas para criptografar seus dados.

É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, o DevOps Guru não poderá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados. Por exemplo, se você tentar obter informações criptografadas de anomalias de log que o DevOps Guru não consegue acessar, a operação retornará um AccessDeniedException erro.

Monitorando suas chaves de criptografia no DevOps Guru

Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos do DevOps Guru, você pode usar AWS CloudTrail nossos CloudWatch registros para rastrear solicitações enviadas pelo DevOps Guru. AWS KMS

Criação de uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando as AWS Management Console ou as AWS KMS APIs.

Para criar uma chave gerenciada pelo cliente, consulte Como criar chaves KMS de criptografia simétrica.

Política de chave

As políticas de chaves controlam o acesso à chave gerenciada pelo seu cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, você pode especificar uma política de chaves. Para obter mais informações, consulte Autenticação e controle de acesso AWS KMS no Guia do AWS Key Management Service desenvolvedor.

Para usar sua chave gerenciada pelo cliente com seus recursos do DevOps Guru, as seguintes operações de API devem ser permitidas na política de chaves:

  • kms:CreateGrant: adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma AWS KMS chave especificada, o que permite o acesso às operações de concessão exigidas pelo DevOps Guru. Para obter mais informações sobre o uso de subsídios, consulte o Guia do AWS Key Management Service desenvolvedor.

Isso permite que o DevOps Guru faça o seguinte:

  • Ligue GenerateDataKey para gerar uma chave de dados criptografada e armazená-la, porque a chave de dados não é usada imediatamente para criptografar.

  • Chamar o Decrypt para usar a chave de dados criptografada armazenada para acessar dados criptografados.

  • Configure uma entidade principal aposentada para permitir que o serviço para RetireGrant.

  • Use kms: DescribeKey para fornecer detalhes da chave gerenciada pelo cliente para permitir que o DevOps Guru valide a chave.

A declaração a seguir inclui exemplos de declarações de política que você pode adicionar ao DevOps Guru:

"Statement" : [ { "Sid" : "Allow access to principals authorized to use DevOps Guru", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:DescribeKey", "kms:CreateGrant" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "devops-guru.Region.amazonaws.com", "kms:CallerAccount" : "111122223333" } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid" : "Allow read-only access to key metadata to the account", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:Describe*", "kms:Get*", "kms:List*" ], "Resource" : "*" } ]

Privacidade do tráfego

Você pode melhorar a segurança de sua análise de recursos e geração de insights configurando o DevOps Guru para usar uma interface VPC endpoint. Para fazer isso, você não precisa de um gateway da Internet, de um dispositivo NAT ou de um gateway privado virtual. Também não é necessário configurá-lo PrivateLink, embora seja recomendado. Para ter mais informações, consulte DevOpsGuru e interface VPC endpoints () AWS PrivateLink. Para obter mais informações sobre endpoints de VPC, consulte PrivateLink e AWS PrivateLinkComo acessar os serviços da AWS por meio de. PrivateLink