Crittografia dei dati in transito Crittografia dei dati a riposo

Protezione dei dati in Amazon VPC Lattice

Il modello di responsabilità AWS condivisa modello si applica alla protezione dei dati in Amazon VPC Lattice. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i. Cloud AWS L'utente è responsabile di mantenere il controllo sui contenuti ospitati su questa infrastruttura. Questi contenuti comprendono la configurazione della protezione e le attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al AWS Modello di responsabilità condivisa e GDPR nel AWS Blog sulla sicurezza.

Crittografia dei dati in transito

VPC Lattice è un servizio completamente gestito che consiste in un piano di controllo e un piano dati. Ogni piano ha uno scopo distinto nel servizio. Il piano di controllo fornisce le API amministrative utilizzate per creare, aggiornare read/describe, eliminare ed elencare le risorse (CRUDL) (ad esempio e). CreateService UpdateService Le comunicazioni verso il piano di controllo VPC Lattice sono protette in transito da TLS. Il piano dati è l'API VPC Lattice Invoke, che fornisce l'interconnessione tra i servizi. TLS crittografa le comunicazioni sul piano dati VPC Lattice quando utilizzi HTTPS o TLS. La suite di crittografia e la versione del protocollo utilizzano i valori predefiniti forniti da VPC Lattice e non sono configurabili. Per ulteriori informazioni, consulta Listener HTTPS per servizi VPC Lattice.

Crittografia dei dati a riposo

Per impostazione predefinita, la crittografia dei dati inattivi aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.

Indice

Server-side crittografia con chiavi gestite Amazon S3 () SSE-S3
Server-side crittografia con AWS KMS chiavi memorizzate in AWS KMS (SSE-KMS)

Server-side crittografia con chiavi gestite Amazon S3 () SSE-S3

Quando utilizzi la crittografia lato server con chiavi gestite di Amazon S3 SSE-S3 (), ogni oggetto viene crittografato con una chiave unica. Come ulteriore protezione, crittografiamo la chiave stessa con una chiave radice che ruotiamo regolarmente. La crittografia lato server di Amazon S3 utilizza uno dei cifrari a blocchi più potenti disponibili, l'Advanced Encryption Standard () GCM a 256 bit, per crittografare i dati. AES-256 Per gli oggetti crittografati in precedenza, è ancora supportata la decrittografia di tali oggetti. AES-GCM AES-CBC Per ulteriori informazioni, consulta Usare la crittografia lato server con le chiavi di S3-managed crittografia Amazon () SSE-S3.

Se abiliti la crittografia lato server con le chiavi di S3-managed crittografia Amazon (SSE-S3) per il tuo bucket S3 per i log di accesso VPC Lattice, crittografiamo automaticamente ogni file di registro di accesso prima che venga archiviato nel tuo bucket S3. Per ulteriori informazioni, consulta Logs sent to Amazon S3 nella CloudWatch Amazon User Guide.

Server-side crittografia con AWS KMS chiavi memorizzate in AWS KMS (SSE-KMS)

Server-side la crittografia con AWS KMS keys (SSE-KMS) è simile a SSE-S3, ma comporta vantaggi e costi aggiuntivi per l'utilizzo di questo servizio. Esistono autorizzazioni separate per la AWS KMS chiave che forniscono una protezione aggiuntiva contro l'accesso non autorizzato ai tuoi oggetti in Amazon S3. SSE-KMS ti fornisce anche una pista di controllo che mostra quando è stata utilizzata la AWS KMS chiave e da chi. Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con AWS Key Management Service () SSE-KMS.

Indice

Crittografia e decrittografia della chiave privata del certificato
Contesto di crittografia per VPC Lattice
Monitoraggio delle chiavi di crittografia per VPC Lattice

Crittografia e decrittografia della chiave privata del certificato

Il certificato ACM e la chiave privata sono crittografati utilizzando una chiave KMS AWS gestita con l'alias. aws/acm Puoi visualizzare l'ID della chiave con questo alias nella AWS KMS console in Chiavi gestite.AWS

VPC Lattice non accede direttamente alle tue risorse ACM. Utilizza AWS TLS Connection Manager per proteggere e accedere alle chiavi private del certificato. Quando si utilizza il certificato ACM per creare un servizio VPC Lattice, VPC Lattice associa il certificato a TLS Connection Manager. AWS Questo viene fatto creando una concessione in base alla tua Managed Key con il AWS KMS prefisso. AWS aws/acm La concessione è uno strumento delle policy che permette a TLS Connection Manager di usare le chiavi KMS nelle operazioni di crittografia. La concessione consente al principale assegnatario (TLS Connection Manager) di chiamare le operazioni di concessione specificate nella chiave KMS per decrittografare la chiave privata del certificato. TLS Connection Manager utilizza quindi il certificato e la chiave privata decrittografata (testo semplice) per stabilire una connessione sicura (SSL/TLS sessione) con i client dei servizi VPC Lattice. Quando il certificato viene dissociato da un servizio VPC Lattice, la concessione viene ritirata.

Se desideri rimuovere l'accesso alla chiave KMS, ti consigliamo di sostituire o eliminare il certificato dal servizio utilizzando Console di gestione AWS o il comando in. update-service AWS CLI

Contesto di crittografia per VPC Lattice

Un contesto di crittografia è un insieme opzionale di coppie chiave-valore che contengono informazioni contestuali sullo scopo per cui potrebbe essere utilizzata la chiave privata. AWS KMS associa il contesto di crittografia ai dati crittografati e lo utilizza come dati autenticati aggiuntivi per supportare la crittografia autenticata.

Quando le chiavi TLS vengono utilizzate con VPC Lattice e TLS Connection Manager, il nome del servizio VPC Lattice viene incluso nel contesto di crittografia utilizzato per crittografare la chiave inattiva. Puoi verificare per quale servizio VPC Lattice vengono utilizzati il tuo certificato e la tua chiave privata visualizzando il contesto di crittografia nei tuoi CloudTrail log, come mostrato nella sezione successiva, o consultando la scheda Risorse associate nella console ACM.

Per decrittografare i dati, includere nella richiesta lo stesso contesto di crittografia. VPC Lattice utilizza lo stesso contesto di crittografia in tutte le operazioni crittografiche AWS KMS, in cui la chiave è aws:vpc-lattice:arn e il valore è l'Amazon Resource Name (ARN) del servizio VPC Lattice.

L'esempio illustrato di seguito mostra il contesto di crittografia nell'output di un'operazione come CreateGrant.


"encryptionContextEquals": {
    "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}

Monitoraggio delle chiavi di crittografia per VPC Lattice

Quando utilizzi una chiave AWS gestita con il tuo servizio VPC Lattice, puoi utilizzarla AWS CloudTrailper tenere traccia delle richieste a cui invia VPC Lattice. AWS KMS

CreateGrant

Quando aggiungi il tuo certificato ACM a un servizio VPC Lattice, viene inviata CreateGrant una richiesta per tuo conto affinché TLS Connection Manager sia in grado di decrittografare la chiave privata associata al tuo certificato ACM

È possibile visualizzare l'CreateGrantoperazione come evento in, Cronologia eventi,. CloudTrailCreateGrant

Di seguito è riportato un esempio di record di CloudTrail eventi nella cronologia degli eventi dell'CreateGrantoperazione.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::111122223333:user/Alice",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "IAMUser",
                "principalId": "EX_PRINCIPAL_ID",
                "arn": "arn:aws:iam::111122223333:user/Alice",
                "accountId": "111122223333",
                "userName": "Alice"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-06T23:30:50Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "acm.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:18Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "acm.amazonaws.com",
    "userAgent": "acm.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "tlsconnectionmanager.amazonaws.com",
        "keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "operations": [
            "Decrypt"
        ],
        "constraints": {
            "encryptionContextEquals": {
                "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
            }
        },
        "retiringPrincipal": "acm.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ba178361-8ab6-4bdd-9aa2-0d1a44b2974a",
    "eventID": "8d449963-1120-4d0c-9479-f76de11ce609",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Nell'CreateGrantesempio precedente, il principale beneficiario è TLS Connection Manager e il contesto di crittografia ha il servizio VPC Lattice ARN.

ListGrants

Puoi usare l'ID della tua chiave KMS e l'ID del tuo account per chiamare l'API. ListGrants In questo modo otterrai un elenco di tutte le concessioni per la chiave KMS specificata. Per ulteriori informazioni, consulta ListGrants.

Usa il seguente ListGrants comando in AWS CLI per vedere i dettagli di tutte le sovvenzioni.


aws kms list-grants —key-id your-kms-key-id

Di seguito è riportato un output di esempio.


{
    "Grants": [
        {
            "Operations": [
                "Decrypt"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", 
            "Name": "IssuedThroughACM", 
            "RetiringPrincipal": "acm.us-west-2.amazonaws.com", 
            "GranteePrincipal": "tlsconnectionmanager.amazonaws.com", 
            "GrantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", 
            "IssuingAccount": "arn:aws:iam::111122223333:root", 
            "CreationDate": "2023-02-06T23:30:50Z", 
            "Constraints": {
                "encryptionContextEquals": {
                  "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                  "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
                }
            }
        }
    ]
}

Nell'ListGrantsesempio precedente, il principale beneficiario è TLS Connection Manager e il contesto di crittografia ha il servizio VPC Lattice ARN.

Decrypt

VPC Lattice utilizza TLS Connection Manager per richiamare l'Decryptoperazione di decrittografia della chiave privata al fine di servire le connessioni TLS nel servizio VPC Lattice. È possibile visualizzare l'Decryptoperazione come un evento in Cronologia eventi, Decrypt. CloudTrail

Di seguito è riportato un esempio di record di eventi nella cronologia CloudTrail degli eventi dell'Decryptoperazione.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "tlsconnectionmanager.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "tlsconnectionmanager.amazonaws.com",
    "userAgent": "tlsconnectionmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12345126-30d5-4b28-98b9-9153da559963",
    "eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "eventCategory": "Management"
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Richieste autenticate

Gestione dell’identità e degli accessi