AWSGlossário de orientação prescritiva

A seguir estão os termos comumente usados em estratégias, guias e padrões fornecidos pela Orientação AWS Prescritiva. Para sugerir entradas, use o link Fornecer feedback no final do glossário.

Termos de gestão e governança

Cloud Center of Excellence (CCoE)

Uma equipe multidisciplinar que impulsiona os esforços de adoção da nuvem em toda a organização, incluindo o desenvolvimento das melhores práticas de nuvem, a mobilização de recursos, o estabelecimento de cronogramas de migração e a liderança da organização em transformações em grande escala. Para obter mais informações, consulte as postagens do CCoE no blog AWS Cloud Enterprise Strategy.

modelo operacional em nuvem

Em uma organização de TI, o modelo operacional usado para criar, amadurecer e otimizar um ou mais ambientes de nuvem. Para obter mais informações, consulte Como criar seu modelo operacional de nuvem.

mapeamento do fluxo de valor de desenvolvimento (DVSM)

Um processo usado para identificar e priorizar restrições que afetam negativamente a velocidade e a qualidade em um ciclo de vida de desenvolvimento de software. O DVSM estende o processo de mapeamento do fluxo de valor originalmente projetado para práticas de manufatura enxuta. Ele se concentra nas etapas e equipes necessárias para criar e movimentar valor por meio do processo de desenvolvimento de software.

Matriz RACI

Uma matriz que define as funções e responsabilidades de todas as partes envolvidas nas atividades de migração e nas operações de nuvem. O nome da matriz é derivado dos tipos de responsabilidade definidos na matriz: responsável (R), responsável (A), consultado (C) e informado (I). O tipo de suporte (S) é opcional. Se você incluir suporte, a matriz será chamada de matriz RASCI e, se você excluí-la, será chamada de matriz RACI.

Matriz RASCI

Consulte Matriz RACI.

tags

Pares de valores-chave que atuam como metadados para organizar seus recursos. AWS As tags podem ajudar você a gerenciar, identificar, organizar, pesquisar e filtrar recursos. Para obter mais informações, consulte Como marcar seus AWS recursos.

tarefas indiferenciadas

Também conhecido como trabalho pesado, trabalho necessário para criar e operar um aplicativo, mas que não fornece valor direto ao usuário final nem oferece vantagem competitiva. Exemplos de tarefas indiferenciadas incluem aquisição, manutenção e planejamento de capacidade.

Termos de rede

Zona de disponibilidade

Um local distinto dentro de um Região da AWS que está isolado de falhas em outras zonas de disponibilidade e fornece conectividade de rede barata e de baixa latência a outras zonas de disponibilidade na mesma região.

endpoint

Consulte endpoint de serviço.

serviço de endpoint

Um serviço que você pode hospedar em uma nuvem privada virtual (VPC) para compartilhar com outros usuários. Você pode criar um serviço de endpoint com AWS PrivateLink e conceder permissões a outros diretores Contas da AWS ou a AWS Identity and Access Management (IAM). Essas contas ou diretores podem se conectar ao seu serviço de endpoint de forma privada criando endpoints VPC de interface. Para obter mais informações, consulte Criar um serviço de endpoint na documentação da Amazon Virtual Private Cloud (Amazon VPC).

zonas hospedadas privadas

Um contêiner que contém informações sobre como você deseja que o Amazon Route 53 responda às consultas de DNS para um domínio e seus subdomínios em uma ou mais VPCs. Para obter mais informações, consulte Trabalhando com zonas hospedadas privadas na documentação do Route 53.

Região

Uma coleção de AWS recursos em uma área geográfica. Cada um Região da AWS é isolado e independente dos outros para fornecer tolerância a falhas, estabilidade e resiliência. Para obter mais informações, consulte Gerenciando Regiões da AWS em Referência geral da AWS.

endpoint de serviço

O URL do ponto de entrada para umAWS service (Serviço da AWS). Você pode usar o endpoint para se conectar programaticamente ao serviço de destino. Para obter mais informações, consulte AWS service (Serviço da AWS)endpoints em Referência geral da AWS.

sub-rede

Um intervalo de endereços IP na VPC. Uma sub-rede deve residir em uma única zona de disponibilidade.

gateway de trânsito

Um hub de trânsito de rede que você pode usar para interconectar suas VPCs e redes locais. Para obter mais informações, consulte O que é um gateway de trânsito na AWS Transit Gateway documentação.

Emparelhamento de VPC

Uma conexão entre duas VPCs que permite rotear o tráfego usando endereços IP privados. Para obter mais informações, consulte O que é emparelhamento de VPC na documentação do Amazon VPC.

Termos de segurança

anonimização

O processo de excluir permanentemente informações pessoais em um conjunto de dados. A anonimização pode ajudar a proteger a privacidade pessoal. Dados anônimos não são mais considerados dados pessoais.

antipadrão

Uma solução frequentemente usada para um problema recorrente em que a solução é contraproducente, ineficaz ou menos eficaz do que uma alternativa.

controle de acesso baseado em atributos (ABAC)

A prática de criar permissões refinadas com base nos atributos do usuário, como departamento, cargo e nome da equipe. Para obter mais informações, consulte ABAC AWS na documentação AWS Identity and Access Management (IAM).

criptografia assimétrica

Um algoritmo de criptografia que usa um par de chaves, uma chave pública para criptografia e uma chave privada para decodificação. Você pode compartilhar a chave pública porque ela não é usada para decodificação, mas o acesso à chave privada deve ser altamente restrito.

gráfico de comportamento

Uma visão unificada e interativa do comportamento e das interações dos recursos ao longo do tempo. Você pode usar um gráfico de comportamento com o Amazon Detective para examinar tentativas de login malsucedidas, chamadas de API suspeitas e ações similares. Para obter mais informações, consulte Dados em um gráfico de comportamento na documentação do Detective.

criptografia no lado do cliente

Criptografia de dados localmente, antes que o alvo os AWS service (Serviço da AWS) receba.

pacote de conformidade

Um conjunto de AWS Config regras e ações de remediação que você pode montar para personalizar suas verificações de conformidade e segurança. Você pode implantar um pacote de conformidade como uma entidade única em uma Conta da AWS região ou em uma organização usando um modelo YAML. Para obter mais informações, consulte Pacotes de conformidade na documentação. AWS Config

dados em repouso

Dados que estão estacionários em sua rede, como dados que estão armazenados.

classificação de dados

Um processo para identificar e categorizar os dados em sua rede com base em sua criticidade e sensibilidade. É um componente essencial de qualquer estratégia de gerenciamento de riscos de cibersegurança, pois ajuda a determinar os controles adequados de proteção e retenção para os dados. A classificação de dados é um componente do pilar de segurança no AWS Well-Architected Framework. Para obter mais informações, consulte Classificação de dados.

dados em trânsito

Dados que estão se movendo ativamente pela sua rede, como entre os recursos da rede.

minimização de dados

O princípio de coletar e processar apenas os dados estritamente necessários. Praticar a minimização de dados no Nuvem AWS pode reduzir os riscos de privacidade, os custos e a pegada de carbono de sua análise.

proveniência dos dados

O processo de rastrear a origem e o histórico dos dados ao longo de seu ciclo de vida, por exemplo, como os dados foram gerados, transmitidos e armazenados.

sujeito dos dados

Um indivíduo cujos dados estão sendo coletados e processados.

defense-in-depth

Uma abordagem de segurança da informação na qual uma série de mecanismos e controles de segurança são cuidadosamente distribuídos por toda a rede de computadores para proteger a confidencialidade, integridade e disponibilidade da rede e dos dados nela contidos. Ao adotar essa estratégiaAWS, você adiciona vários controles em diferentes camadas da AWS Organizations estrutura para ajudar a proteger os recursos. Por exemplo, uma defense-in-depth abordagem pode combinar autenticação multifatorial, segmentação de rede e criptografia.

administrador delegado

EmAWS Organizations, um serviço compatível pode registrar uma conta de AWS membro para administrar as contas da organização e gerenciar as permissões desse serviço. Essa conta é chamada de administrador delegado desse serviço. Para obter mais informações e uma lista de serviços compatíveis, consulte Serviços que funcionam com AWS Organizations na AWS Organizations documentação.

controle de detetive

Um controle de segurança projetado para detectar, registrar e alertar após a ocorrência de um evento. Esses controles são uma segunda linha de defesa, alertando você sobre eventos de segurança que contornaram os controles preventivos em vigor. Para obter mais informações, consulte Controles de Detective em Implementação de controles de segurança em. AWS

chave de criptografia

Uma sequência criptográfica de bits aleatórios que é gerada por um algoritmo de criptografia. As chaves podem variar em tamanho, e cada chave foi projetada para ser imprevisível e exclusiva.

serviço de endpoint

Um serviço que você pode hospedar em uma nuvem privada virtual (VPC) para compartilhar com outros usuários. Você pode criar um serviço de endpoint com AWS PrivateLink e conceder permissões para outras pessoas Contas da AWS ou para diretores do IAM. Essas contas ou diretores podem se conectar ao seu serviço de endpoint de forma privada criando endpoints VPC de interface. Para obter mais informações, consulte Criar um serviço de endpoint na documentação do Amazon VPC.

criptografia de envelope

O processo de criptografar uma chave de criptografia com outra chave de criptografia. Para obter mais informações, consulte Criptografia de envelope na documentação AWS Key Management Service (AWS KMS).

controle de acesso refinado (FGAC)

O uso de várias condições para permitir ou negar uma solicitação de acesso.

restrições geográficas (bloqueio geográfico)

Na Amazon CloudFront, uma opção para impedir que usuários em países específicos acessem distribuições de conteúdo. Você pode usar uma lista de permissões ou uma lista de bloqueio para especificar países aprovados e banidos. Para obter mais informações, consulte Restringir a distribuição geográfica do seu conteúdo na CloudFront documentação.

corrimão

Uma regra de alto nível que ajuda a governar recursos, políticas e conformidade em todas as unidades organizacionais (OUs). As barreiras preventivas aplicam políticas para garantir o alinhamento com os padrões de conformidade. Eles são implementados usando políticas de controle de serviço e limites de permissões do IAM. Detective proteções detectando violações de políticas e problemas de conformidade e gerando alertas para remediação. Eles são implementados usandoAWS Config,AWS Security Hub, Amazon GuardDutyAWS Trusted Advisor, Amazon Inspector e verificações personalizadasAWS Lambda.

política baseada em identidade

Uma política anexada a um ou mais diretores do IAM que define suas permissões no Nuvem AWS ambiente.

VPC de entrada (entrada)

Em uma arquitetura de AWS várias contas, uma VPC que aceita, inspeciona e roteia conexões de rede de fora de um aplicativo. A Arquitetura de Referência de AWS Segurança recomenda configurar sua conta de rede com VPCs de entrada, saída e inspeção para proteger a interface bidirecional entre seu aplicativo e a Internet em geral.

inspeção VPC

Em uma arquitetura de AWS várias contas, uma VPC centralizada que gerencia as inspeções do tráfego de rede entre VPCs (na mesma ou em diferentesRegiões da AWS), a Internet e as redes locais. A Arquitetura de Referência de AWS Segurança recomenda configurar sua conta de rede com VPCs de entrada, saída e inspeção para proteger a interface bidirecional entre seu aplicativo e a Internet em geral.

menor privilégio

A melhor prática de segurança de conceder as permissões mínimas necessárias para realizar uma tarefa. Para obter mais informações, consulte Aplicar permissões de privilégios mínimos na documentação do IAM.

conta-membro

Todos, Contas da AWS exceto a conta de gerenciamento, que fazem parte de uma organização emAWS Organizations. Uma conta da só pode ser membro de uma organização de cada vez.

trilha organizacional

Uma trilha criada por ela AWS CloudTrail registra todos os eventos de todos Contas da AWS em uma organização emAWS Organizations. Essa trilha é criada em cada uma Conta da AWS que faz parte da organização e rastreia a atividade em cada conta. Para obter mais informações, consulte Criação de uma trilha para uma organização na CloudTrail documentação.

VPC de saída (saída)

Em uma arquitetura de AWS várias contas, uma VPC que gerencia conexões de rede que são iniciadas de dentro de um aplicativo. A Arquitetura de Referência de AWS Segurança recomenda configurar sua conta de rede com VPCs de entrada, saída e inspeção para proteger a interface bidirecional entre seu aplicativo e a Internet em geral.

controle de acesso de origem (OAC)

Em CloudFront, uma opção aprimorada para restringir o acesso para proteger seu conteúdo do Amazon Simple Storage Service (Amazon S3). O OAC oferece suporte a todos os buckets S3Regiões da AWS, criptografia do lado do servidor com AWS KMS (SSE-KMS) e solicitações dinâmicas ao bucket S3. PUT DELETE

identidade de acesso de origem (OAI)

Em CloudFront, uma opção para restringir o acesso para proteger seu conteúdo do Amazon S3. Quando você usa o OAI, CloudFront cria um principal com o qual o Amazon S3 pode se autenticar. Os diretores autenticados podem acessar o conteúdo em um bucket do S3 somente por meio de uma distribuição específica. CloudFront Veja também OAC, que fornece controle de acesso mais granular e aprimorado.

limite de permissões

Uma política de gerenciamento do IAM anexada aos diretores do IAM para definir as permissões máximas que o usuário ou a função podem ter. Para obter mais informações, consulte Limites de permissões na documentação do IAM.

informações de identificação pessoal (PII)

Informações que, quando visualizadas diretamente ou combinadas com outros dados relacionados, podem ser usadas para inferir razoavelmente a identidade de um indivíduo. Exemplos de PII incluem nomes, endereços e informações de contato.

política

Um objeto que pode definir permissões (consultepolítica baseada em identidade), especificar condições de acesso (consultepolítica baseada em recursos) ou definir o máximo de permissões para todas as contas em uma organização em AWS Organizations (consulte a política de controle de serviços).

controle preventivo

Um controle de segurança projetado para evitar que um evento ocorra. Esses controles são a primeira linha de defesa para ajudar a impedir o acesso não autorizado ou alterações indesejadas em sua rede. Para obter mais informações, consulte Controles preventivos em Implementação de controles de segurança em. AWS

principal

Entidade na AWS que pode executar ações e acessar recursos. Essa entidade geralmente é um usuário raiz para umConta da AWS, uma função do IAM ou um usuário. Para obter mais informações, consulte os termos e conceitos de Principal in Roles na documentação do IAM.

Privacidade por design

Uma abordagem em engenharia de sistemas que leva em consideração a privacidade em todo o processo de engenharia.

pseudonimização

O processo de substituir identificadores pessoais em um conjunto de dados por valores de espaço reservado. A pseudonimização pode ajudar a proteger a privacidade pessoal. Os dados pseudonimizados ainda são considerados dados pessoais.

ransomware

Um software malicioso projetado para bloquear o acesso a um sistema ou dados de computador até que um pagamento seja feito.

política baseada em recursos

Uma política anexada a um recurso, como um bucket do Amazon S3, um endpoint ou uma chave de criptografia. Esse tipo de política especifica quais diretores têm acesso permitido, ações suportadas e quaisquer outras condições que devem ser atendidas.

controle responsivo

Um controle de segurança projetado para promover a remediação de eventos adversos ou desvios de sua linha de base de segurança. Para obter mais informações, consulte Controles responsivos em Implementação de controles de segurança em AWS.

SAML 2.0

Um padrão aberto que muitos provedores de identidade (IdPs) usam. Esse recurso permite o login único federado (SSO), para que os usuários possam fazer login AWS Management Console ou chamar as operações da AWS API sem que você precise criar um usuário no IAM para todos em sua organização. Para obter mais informações sobre a federação baseada em SAML 2.0, consulte Sobre a federação baseada em SAML 2.0 na documentação do IAM.

controle de segurança

Uma barreira técnica ou administrativa que impede, detecta ou reduz a capacidade de um agente de ameaça explorar uma vulnerabilidade de segurança. Existem três tipos principais de controles de segurança: preventivos, detectivos e responsivos.

fortalecimento da segurança

O processo de reduzir a superfície de ataque para torná-la mais resistente aos ataques. Isso pode incluir ações como remover recursos que não são mais necessários, implementar a melhor prática de segurança de conceder privilégios mínimos ou desativar recursos desnecessários nos arquivos de configuração.

sistema de gerenciamento de eventos e informações de segurança (SIEM)

Ferramentas e serviços que combinam sistemas de gerenciamento de informações de segurança (SIM) e gerenciamento de eventos de segurança (SEM). Um sistema SIEM coleta, monitora e analisa dados de servidores, redes, dispositivos e outras fontes para detectar ameaças e violações de segurança e gerar alertas.

criptografia do lado do servidor

Criptografia dos dados em seu destino, por AWS service (Serviço da AWS) quem os recebe.

política de controle de serviços (SCP)

Uma política que fornece controle centralizado sobre as permissões de todas as contas em uma organização emAWS Organizations. Os SCPs definem barreiras ou estabelecem limites para as ações que um administrador pode delegar a usuários ou funções. Você pode usar SCPs como listas de permissão ou de negação para especificar quais serviços ou ações são permitidos ou proibidos. Para obter mais informações, consulte Políticas de controle de serviço na AWS Organizations documentação.

modelo de responsabilidade compartilhada

Um modelo que descreve a responsabilidade com a qual você compartilha AWS pela segurança e conformidade na nuvem. AWSé responsável pela segurança da nuvem, enquanto você é responsável pela segurança na nuvem. Para obter mais informações, consulte o Modelo de responsabilidade compartilhada.

criptografia simétrica

Um algoritmo de criptografia que usa a mesma chave para criptografar e descriptografar os dados.

acesso confiável

Conceder permissões a um serviço que você especifica para realizar tarefas em sua organização AWS Organizations e em suas contas em seu nome. O serviço confiável cria uma função vinculada ao serviço em cada conta, quando essa função é necessária, para realizar tarefas de gerenciamento para você. Para obter mais informações, consulte Usando AWS Organizations com outros AWS serviços na AWS Organizations documentação.

vulnerabilidade

Uma falha de software ou hardware que compromete a segurança do sistema.

carga de trabalho

Uma coleção de recursos e códigos que agregam valor comercial, como um aplicativo voltado para o cliente ou um processo de back-end.

exploração de dia zero

Um ataque, normalmente malware, que tira proveito de umvulnerabilidade de dia zero.

vulnerabilidade de dia zero

Uma falha ou vulnerabilidade absoluta em um sistema de produção. Os agentes de ameaças podem usar esse tipo de vulnerabilidade para atacar o sistema. Os desenvolvedores frequentemente ficam cientes da vulnerabilidade como resultado do ataque.

Termos de armazenamento e backup

fonte de dados autorizada

Um local onde você armazena a versão principal dos dados, que é considerada a fonte de informações mais confiável. Você pode copiar dados da fonte de dados autorizada para outros locais com o objetivo de processar ou modificar os dados, como anonimizá-los, redigi-los ou pseudonimizá-los.

dados frios

Dados que raramente são acessados e geralmente são históricos. Ao consultar esse tipo de dados, consultas lentas geralmente são aceitáveis. Mover esses dados para níveis ou classes de armazenamento de baixo desempenho e menos caros pode reduzir os custos.

desastre

Um evento que impede que uma carga de trabalho ou sistema cumpra seus objetivos de negócios em seu local principal de implantação. Esses eventos podem ser desastres naturais, falhas técnicas ou o resultado de ações humanas, como configuração incorreta não intencional ou ataque de malware.

recuperação de desastres (DR)

A estratégia e o processo que você usa para minimizar o tempo de inatividade e a perda de dados causados por umdesastre. Para obter mais informações, consulte Recuperação de desastres de cargas de trabalho emAWS: Recuperação na nuvem no AWS Well-Architected Framework.

alta disponibilidade (HA)

A capacidade de uma carga de trabalho operar continuamente, sem intervenção, em caso de desafios ou desastres. Os sistemas HA são projetados para realizar o failover automático, oferecer consistentemente desempenho de alta qualidade e lidar com diferentes cargas e falhas com impacto mínimo no desempenho.

dados quentes

Dados que são acessados com frequência, como dados em tempo real ou dados translacionais recentes. Esses dados normalmente exigem uma camada ou classe de armazenamento de alto desempenho para fornecer respostas rápidas às consultas.

objetivo de ponto de recuperação (RPO)

O tempo máximo aceitável desde o último ponto de recuperação de dados. Isso determina o que é considerado uma perda aceitável de dados entre o último ponto de recuperação e a interrupção do serviço.

objetivo de tempo de recuperação (RTO)

O atraso máximo aceitável entre a interrupção do serviço e a restauração do serviço.

dados quentes

Dados que são acessados com pouca frequência. Ao consultar esse tipo de dados, consultas moderadamente lentas geralmente são aceitáveis.