Proteção de dados no Amazon Verified Permissions - Amazon Verified Permissions
Criptografia de dados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção de dados no Amazon Verified Permissions

O modelo de responsabilidade AWS compartilhada se aplica à proteção de dados nas Permissões Verificadas da Amazon. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança do Serviços da AWS que você usa. Para obter mais informações sobre a privacidade de dados, consulte as Data Privacy FAQ. Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS Shared Responsibility Model and RGPD no Blog de segurança da AWS .

  • Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho.

  • É recomendável também que você proteja seus dados da seguinte maneira:

    • Use uma autenticação multifator (MFA) com cada conta.

    • Use SSL/TLS para se comunicar com os recursos. AWS O TLS 1.2 é obrigatório.

    • Configure a API e o registro de atividades do usuário com AWS CloudTrail.

    • Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.

    • Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.

    • Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar AWS por meio de uma interface de linha de comando ou uma API, use um endpoint FIPS. Para ter mais informações sobre endpoints do FIPS disponíveis, consulte Federal Information Processing Standard (FIPS) 140-2.

  • É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Nome. Isso inclui quando você trabalha com permissões verificadas ou outras Serviços da AWS usando o console AWS CLI, a API ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.

  • Os nomes de ação não devem incluir nenhuma informação confidencial.

  • Também é altamente recomendável que você sempre use identificadores exclusivos, não mutáveis e não reutilizáveis para suas entidades (recursos e entidades principais). Em um ambiente de teste, você pode optar por usar identificadores de entidade simples, como jane ou bob para o nome de uma entidade do tipo User. No entanto, em um sistema de produção, é fundamental, por motivos de segurança, que você use valores exclusivos que não possam ser reutilizados. Recomendamos que você use valores como identificadores universalmente exclusivos ()UUIDs. Por exemplo, considere o usuário jane, que é desligado da empresa. Mais tarde, você deixa outra pessoa usar o nome jane. Esse novo usuário te, automaticamente acesso a tudo o que é concedido pelas políticas que ainda fazem referência a User::"jane". O Verified Permissions e o Cedar não conseguem distinguir entre o novo usuário e o usuário anterior.

    Essa orientação se aplica tanto aos identificadores de entidades principais quanto aos identificadores de recursos. Sempre use identificadores que sejam comprovadamente exclusivos e nunca sejam reutilizados para garantir que você não conceda acesso involuntariamente devido à presença de um identificador antigo em uma política.

  • Certifique-se de que as strings fornecidas para definir os valores Long e Decimal estejam no intervalo válido de cada tipo. Além disso, certifique-se de que o uso de qualquer operador aritmético não resulte em um valor fora do intervalo válido. Se o intervalo for excedido, a operação resultará em uma exceção de estouro. Uma política que retorna um erro é ignorada, o que significa que uma política Permit pode inesperadamente não permitir o acesso ou uma política Forbid pode inesperadamente não bloquear o acesso.

Criptografia de dados

O Amazon Verified Permissions criptografa automaticamente todos os dados do cliente, como políticas com uma Chave gerenciada pela AWS. Portanto, o uso de uma chave gerenciada pelo cliente não é necessário nem compatível.