Criptografia em repouso Criptografia em trânsito Gerenciamento de chaves

Criptografia de dados

As informações a seguir explicam onde o Amazon Rekognition usa criptografia de dados para proteger seus dados.

Criptografia em repouso

Amazon Rekognition Image

Imagens

As imagens passadas para as operações da API Amazon Rekognition podem ser armazenadas e usadas para melhorar o serviço, a menos que você tenha optado por não participar visitando a página de política de exclusão de serviços de IA e seguindo o processo explicado nela. As imagens armazenadas são criptografadas em repouso (Amazon S3) usando o AWS Key Management Service (SSE-KMS).

Coleções

Para operações de comparação de faces que armazenam informações em uma coleção, o algoritmo de detecção subjacente primeiro detecta as faces na imagem de entrada, extrai um vetor para cada face e depois armazena os vetores faciais na coleção. O Amazon Rekognition usa esses vetores faciais ao realizar a comparação facial. Os vetores faciais são armazenados como uma matriz de flutuadores e criptografados em repouso.

Amazon Rekognition Video

Vídeos

Para analisar um vídeo, o Amazon Rekognition copia seus vídeos no serviço para processamento. O vídeo pode ser armazenado e usado para melhorar o serviço, a menos que você tenha optado por não participar visitando a página de política de exclusão de serviços de IA e seguindo o processo explicado lá. Os vídeos são criptografados em repouso (Amazon S3) usando o AWS Key Management Service (SSE-KMS).

Amazon Rekognition Custom Labels

Os Amazon Rekognition Custom Labels criptografam seus dados em repouso.

Imagens

Para treinar seu modelo, as Amazon Rekognition Custom Labels fazem uma cópia de suas imagens de treinamento e teste de origem. As imagens copiadas são criptografadas em repouso no Amazon Simple Storage Service (S3) usando criptografia do lado do servidor com uma AWS KMS key chave KMS fornecida por você ou de sua propriedade. AWS Os Amazon Rekognition Custom Labels só oferecem suporte a chaves KMS simétricas. Suas imagens de origem não são afetadas. Para obter mais informações, consulte Treinamento de um modelo de Amazon Rekognition Custom Labels.

Modelos da

Por padrão, os Amazon Rekognition Custom Labels criptografam modelos treinados e arquivos de manifesto armazenados em buckets do Amazon S3 usando criptografia do lado do servidor com um Chave pertencente à AWS. Para obter mais informações, consulte Proteger dados usando a criptografia no lado do servidor. Os resultados do treinamento são gravados no bucket especificado no parâmetro OutputConfig de entrada paraCreateProjectVersion. Os resultados do treinamento são criptografados usando as configurações de criptografia definidas para o bucket (OutputConfig).

Bucket de console

O console Amazon Rekognition Custom Labels cria um bucket do Amazon S3 (bucket de console) que você pode usar para gerenciar seus projetos. O bucket do console é criptografado usando a criptografia padrão do Amazon S3. Para obter mais informações, consulte Criptografia padrão do Amazon Simple Storage Service para buckets do S3. Se você estiver usando sua própria chave KMS, configure o bucket do console depois que ele for criado. Para obter mais informações, consulte Proteger dados usando a criptografia no lado do servidor. Os Amazon Rekognition Custom Labels bloqueiam o acesso público ao bucket do console.

Rekognition Face Liveness

Todos os dados relacionados à sessão armazenados na conta do serviço Rekognition Face Liveness são totalmente criptografados quando em repouso. Por padrão, as imagens de referência e auditoria são criptografadas usando AWS uma chave própria na conta de serviço. No entanto, você pode optar por fornecer suas próprias AWS KMS chaves para criptografar essas imagens.

Criptografia em trânsito

Os endpoints da API Amazon Rekognition só oferecem suporte a conexões seguras por HTTPS. Toda a comunicação é criptografada com Transport Layer Security (TLS).

Gerenciamento de chaves

Você pode usar o AWS Key Management Service (KMS) para gerenciar chaves para as imagens e vídeos de entrada que você armazena nos buckets do Amazon S3. Para obter mais informações, consulte os conceitos do AWS Key Management Service.

Criptografia de chave gerenciada pelo cliente para vivacidade facial

A CreateFaceLivenessSessionAPI usa um KmsKeyId parâmetro opcional. Você pode fornecer o id da chave KMS que você criou em sua conta. Essa chave será usada para criptografar imagens de referência e auditoria obtidas durante a StartFaceLivenessSessionAPI e, durante a GetFaceLivenessSessionResultsAPI, as imagens serão descriptografadas usando essa chave antes de retornar os resultados. Se a CreateFaceLivenessSession solicitação incluir um OutputConfig, as imagens de referência e auditoria serão carregadas nos caminhos especificados do Amazon S3. Recomendamos habilitar a criptografia do lado do servidor (SSE-S3) em seus buckets do Amazon S3 para que os dados continuem criptografados em repouso.

Quando você fornece seu próprio ID de AWS KMS chave, o serviço Rekognition Face Liveness obtém permissão para usar a chave gerenciada pelo cliente em nome do diretor que invoca o. APIs Os diretores (usuários ou funções) usados para invocar o back-end APIs do cliente (APIsCreateFaceLivenessSessioneGetFaceLivenessSessionResults) devem ter acesso para realizar o seguinte:

kms:DescribeKey
kms:GenerateDataKey
kms:Decrypt

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Proteção de dados

Privacidade do tráfego entre redes