As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção de dados no AWS Panorama
O modelo de responsabilidade compartilhada
Para fins de proteção de dados, recomendamos que você proteja asConta da AWS credenciais da e configure as contas de usuário individuais com o AWS IAM Identity Center ou o AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use uma autenticação multifator (MFA [multi-factor authentication]) com cada conta.
-
Use SSL/TLS para se comunicar com os atributos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Configure o registro em log das atividades da API e do usuário com o .AWS CloudTrail
-
Use AWS as soluções de criptografia da , juntamente com todos os controles de segurança padrão dos Serviços da AWS.
-
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
-
Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar a AWS por meio de uma interface de linha de comandos ou uma API, use um endpoint do FIPS. Para ter mais informações sobre endpoints do FIPS, consulte Federal Information Processing Standard (FIPS) 140-2.
É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Name (Nome). Isso também vale para o uso do AWS Panorama ou de outros Serviços da AWS com o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.
Criptografia em trânsito
Os endpoints da API do AWS Panorama oferecem suporte a conexões seguras somente em HTTPS. Ao gerenciar recursos do AWS Panorama com o AWS Management Console, o SDK da AWS ou a API do AWS Panorama, toda a comunicação é criptografada com Transport Layer Security (TLS). A comunicação entre o AWS Panorama Appliance e a AWS também é criptografada com TLS. A comunicação entre o AWS Panorama Appliance e as câmeras via RTSP não é criptografada.
Para obter uma lista completa de endpoints de API, consulte Regiões e endpoints da AWS na Referência geral da AWS.
AWS Panorama Appliance
O AWS Panorama Appliance tem portas físicas para Ethernet, vídeo HDMI e armazenamento USB. O slot para cartão SD, o Wi-Fi e o Bluetooth não podem ser usados. A porta USB é usada somente durante o provisionamento para transferir um arquivo de configuração para o dispositivo.
O conteúdo do arquivo de configuração, que inclui o certificado de provisionamento e a configuração de rede do dispositivo, não é criptografado. O AWS Panorama não armazena esses arquivos; eles só podem ser recuperados quando você registra um dispositivo. Depois de transferir o arquivo de configuração para um dispositivo, exclua-o do computador e do dispositivo de armazenamento USB.
Todo o sistema de arquivos do dispositivo é criptografado. Além disso, o dispositivo aplica várias proteções em nível de sistema, incluindo proteção contra reversão para atualizações de software necessárias, kernel assinado e bootloader e verificação da integridade do software.
Ao parar de usar o dispositivo, execute uma redefinição completa para excluir os dados da aplicação e redefinir o software do dispositivo.
Aplicações
Você controla o código que implanta no seu dispositivo. Valide todo o código da aplicação em busca de problemas de segurança antes de implantá-lo, independentemente da origem do código. Se você usa bibliotecas de terceiros em sua aplicação, avalie cuidadosamente as políticas de licenciamento e suporte dessas bibliotecas.
O uso da CPU, da memória e do disco da aplicação não é limitado pelo software do dispositivo. Uma aplicação que usa recursos excessivamente pode afetar negativamente outras aplicações e a operação do dispositivo. Teste as aplicações separadamente antes de combiná-las ou implantá-las em ambientes de produção.
Os ativos da aplicação (códigos e modelos) não estão isolados do acesso em sua conta, dispositivo ou ambiente de compilação. As imagens do contêiner e os arquivos de modelos gerados pela CLI da aplicação do AWS Panorama não são criptografados. Use contas separadas para workloads de produção e permita o acesso apenas conforme a necessidade.
Outros serviços
Para armazenar seus modelos e contêineres de aplicações com segurança no Amazon S3, o AWS Panorama usa criptografia no lado do servidor com uma chave gerenciada pelo Amazon S3. Para ter mais informações, consulte Como proteger dados usando criptografia no Guia do usuário do Amazon Simple Storage Service.
As credenciais de stream da câmera são criptografadas em repouso no AWS Secrets Manager. O perfil do IAM do dispositivo concede a ele permissão para recuperar o segredo a fim de acessar o nome de usuário e a senha do stream.
O AWS Panorama Appliance envia dados de log para o Amazon CloudWatch Logs. CloudWatch O Logs criptografa esses dados por padrão e pode ser configurado para usar uma chave gerenciada pelo cliente. Para obter mais informações, consulte Criptografar dados de log em CloudWatch registros usando AWS KMS o Guia do usuário do Amazon CloudWatch Logs.
