Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado en reposo
De forma predeterminada, Amazon Managed Grafana te proporciona automáticamente el cifrado en reposo y lo hace con las claves de cifrado AWS propias.
-
AWS claves propias: Grafana, gestionada por Amazon, utiliza estas claves para cifrar automáticamente los datos de tu espacio de trabajo. No puedes ver, administrar ni usar las claves AWS propias, ni auditar su uso. Sin embargo, no tiene que realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran sus datos. Para obtener más información, consulta las claves AWS propias en la Guía para AWS KMS desarrolladores.
El cifrado de datos en reposo ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales de los clientes, como la información de identificación personal. Le permite crear aplicaciones seguras que cumplen con los estrictos requisitos normativos y de conformidad del cifrado.
Cuando cree su espacio de trabajo, también puede optar por utilizar una clave administrada por el cliente:
-
Claves administradas por el cliente: Amazon Managed Grafana admite el uso de una clave simétrica administrada por el cliente que usted crea, posee y administra para cifrar los datos de su espacio de trabajo. Como usted tiene el control total de este cifrado, puede realizar tareas como las siguientes:
Establecer y mantener políticas de claves
Establecer y mantener concesiones y políticas de IAM
Habilitar y deshabilitar políticas de claves
Rotar el material criptográfico
Adición de etiquetas de
Crear alias de clave
Programar la eliminación de claves
Para obtener más información, consulte las claves administradas por el cliente en la Guía para AWS KMS desarrolladores y ¿Qué es? AWS KMS
Elija si desea utilizar con cuidado las claves gestionadas por el cliente o las claves AWS propias. Los espacios de trabajo creados con claves administradas por el cliente no se pueden convertir para usar claves AWS propias más adelante (y viceversa).
nota
Grafana gestionada por Amazon habilita automáticamente el cifrado en reposo mediante claves AWS propias para proteger tus datos sin coste alguno.
Sin embargo, se aplican AWS KMS cargos por el uso de una clave administrada por el cliente. Para obtener más información acerca de los precios, consulte Precios de AWS KMS
.
importante
Si inhabilitas la clave gestionada por el cliente o eliminas el acceso a Grafana gestionado por Amazon en la política de claves, tu espacio de trabajo quedará inaccesible. El espacio de trabajo permanecerá en un
ACTIVEestado, pero no estará disponible desde el punto de vista funcional. Dispones de 7 días para restablecer el acceso volviendo a habilitar la clave o restaurando la política de claves. Después de 7 días, el espacio de trabajo pasará a unFAILEDestado y solo se podrá eliminar.Si se programa la eliminación de una clave, hay un período de espera mínimo de 7 días antes de que se elimine la clave. AWS KMS Una vez que se elimina una clave, no se puede restaurar y cualquier espacio de trabajo cifrado con esa clave perderá permanentemente el acceso a sus datos.
El cifrado de claves gestionado por el cliente solo está disponible al crear nuevos espacios de trabajo. Los espacios de trabajo existentes no se pueden convertir para usar claves administradas por el cliente.
No puedes modificar la clave gestionada por el cliente de un espacio de trabajo tras su creación.
Cómo Amazon Managed Grafana utiliza las subvenciones en AWS KMS
Amazon Managed Grafana requiere subvenciones para utilizar tu clave gestionada por el cliente.
Cuando creas un espacio de trabajo de Grafana gestionado por Amazon cifrado con una clave gestionada por el cliente, Amazon Managed Grafana crea subvenciones en tu nombre enviando solicitudes a. CreateGrant AWS KMS Las concesiones se AWS KMS utilizan para conceder a Grafana gestionada por Amazon acceso a la clave KMS de su cuenta, incluso cuando no se ha llamado directamente en su nombre (por ejemplo, al almacenar datos del panel de control o configuraciones de usuario).
Amazon Managed Grafana exige que las subvenciones utilicen tu clave gestionada por el cliente para las siguientes operaciones internas:
Envíe CreateGrantsolicitudes para AWS KMS crear subvenciones adicionales según sea necesario.
Envíe DescribeKeysolicitudes AWS KMS a para comprobar que la clave KMS simétrica gestionada por el cliente que se proporcionó al crear un espacio de trabajo es válida.
Envía ReEncryptTo y ReEncryptFrom solicita que se vuelvan AWS KMS a cifrar los datos cuando cambies de un contexto de cifrado diferente.
Envíe solicitudes de cifrado AWS KMS a para cifrar los datos directamente con la clave gestionada por el cliente.
Envíe solicitudes de descifrado AWS KMS a para descifrar las claves de datos cifrados para que puedan usarse para cifrar sus datos.
Envíe GenerateDataKeysolicitudes AWS KMS para generar claves de datos cifradas con su clave gestionada por el cliente.
Envíe GenerateDataKeyWithoutPlaintextsolicitudes AWS KMS para generar claves de datos cifradas sin devolver la versión de texto simple.
Envíe RetireGrantsolicitudes AWS KMS para retirar las subvenciones que ya no sean necesarias.
Amazon Managed Grafana crea concesiones a la AWS KMS clave que permiten a Amazon Managed Grafana utilizar la clave en tu nombre. Puede eliminar el acceso a la clave cambiando la política de claves, deshabilitando la clave o revocando la concesión. Debe comprender las consecuencias de estas acciones antes de llevarlas a cabo. Esto puede provocar la pérdida de datos en su espacio de trabajo.
Si eliminas el acceso a alguna de las subvenciones de alguna forma, Amazon Managed Grafana no podrá acceder a ninguno de los datos cifrados por la clave gestionada por el cliente ni almacenar los nuevos datos que se envíen al espacio de trabajo, lo que afectará a las operaciones que dependen de esos datos. No se podrá acceder a las nuevas actualizaciones del espacio de trabajo y es posible que se pierdan permanentemente.
aviso
Si inhabilitas la clave o eliminas el acceso a Grafana gestionado por Amazon en la política de claves, ya no podrás acceder a los datos del espacio de trabajo. El espacio de trabajo permanecerá en un
ACTIVEestado, pero no estará disponible desde el punto de vista funcional. No se podrá acceder a las nuevas actualizaciones que se envíen al espacio de trabajo y es posible que se pierdan permanentemente. Puedes restablecer el acceso a los datos del espacio de trabajo y reanudar la recepción de nuevos datos si vuelves a habilitar la clave o restablece el acceso de Grafana gestionado por Amazon a la clave en un plazo de 7 días. Tras 7 días sin acceso, el espacio de trabajo pasará a unFAILEDestado.Si programa la eliminación de la clave AWS KMS, se eliminará una vez transcurrido el período de espera obligatorio de 7 días. Una vez eliminada, la clave no se podrá restaurar y los datos del espacio de trabajo permanecerán inaccesibles de forma permanente.
Si revoca una concesión, no se podrá volver a crear y los datos del espacio de trabajo se perderán de forma permanente.
Amazon Managed Grafana crea subvenciones adicionales para niños a través de Amazon RDS debido a su dependencia de RDS para el almacenamiento de datos. La revocación de estas subvenciones relacionadas con el RDS tendrá el mismo efecto de pérdida permanente de datos que la revocación de las subvenciones principales de Grafana.
Paso 1: Crear una clave administrada por el cliente
Puede crear una clave simétrica gestionada por el cliente mediante la Consola de administración o la AWS . AWS KMS APIs La clave debe estar en la misma región que el espacio de trabajo de Grafana gestionado por Amazon y debe ser una clave simétrica con ENCRYPT_DECRYPT el uso de claves.
Para crear una clave simétrica administrada por el cliente
Siga los pasos para crear una clave simétrica gestionada por el cliente que se indican en la Guía para desarrolladores de AWS KMS .
Política de claves
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administración del acceso a las claves en la Guía para desarrolladores de AWS KMS .
Para usar tu clave gestionada por el cliente en tus espacios de trabajo de Grafana gestionados por Amazon, la política de claves debe permitir las siguientes operaciones de API:
-
kms: CreateGrant — Añade una concesión a una clave gestionada por el cliente. Otorga el acceso de control a una clave de KMS específica, que permite el acceso a las operaciones de subvención que Amazon Managed Grafana requiere. Para obtener más información, consulte Uso de concesiones en la Guía para desarrolladores de AWS KMS . Esto permite a Amazon Managed Grafana hacer lo siguiente:
Llame
GenerateDataKeypara generar una clave de datos cifrada y almacenarla.Llamar a
Decryptpara usar la clave de datos cifrados almacenada para acceder a los datos cifrados.
-
kms: DescribeKey — Proporciona los detalles clave gestionados por el cliente para que Amazon Managed Grafana pueda validar la clave.
Los siguientes son ejemplos de declaraciones de política que puedes añadir a Grafana gestionada por Amazon:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow IAM Users and Roles to validate KMS key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/root" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "grafana.<region>.amazonaws.com" ] } } }, { "Sid": "Allow IAM Users and Roles to create grant on KMS key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/root" }, "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "grafana.<region>.amazonaws.com" ], "kms:GrantConstraintType": "EncryptionContextSubset" }, "ForAllValues:StringEquals": { "kms:GrantOperations": [ "CreateGrant", "RetireGrant", "Decrypt", "Encrypt", "GenerateDataKey", "GenerateDataKeyWithoutPlaintext", "ReEncryptFrom", "ReEncryptTo" ] } } } ] }
Para obtener más información sobre cómo especificar los permisos en una política, consulte la Guía para desarrolladores de AWS Key Management Service.
Para obtener más información sobre la solución de problemas de acceso a las claves, consulte la Guía AWS para desarrolladores del Servicio de administración de claves.
Paso 2: Especificar una clave gestionada por el cliente para Amazon Managed Grafana
Al crear un espacio de trabajo, puede especificar la clave gestionada por el cliente introduciendo un ARN de clave KMS, que Amazon Managed Grafana utiliza para cifrar los datos almacenados en el espacio de trabajo.
Uso de la consola de administración AWS
Abra la consola de Amazon Managed Grafana en https://console.aws.amazon.com/grafana/
. Elija Crear espacio de trabajo.
En la sección Cifrado, seleccione Clave gestionada por el cliente.
Introduzca el ARN de la clave gestionada por el cliente en el campo ARN de clave de KMS.
Complete la configuración restante del espacio de trabajo y elija Crear espacio de trabajo.
Usando el AWS CLI
Puede especificar una clave gestionada por el cliente al crear un espacio de trabajo mediante el --kms-key-id parámetro:
aws grafana create-workspace \ --workspace-name "my-encrypted-workspace" \ --workspace-description "Workspace with customer managed encryption" \ --account-access-type "CURRENT_ACCOUNT" \ --authentication-providers "AWS_SSO" \ --permission-type "SERVICE_MANAGED" \ --kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
Supervisión de las claves de cifrado de Grafana gestionado por Amazon
Cuando utilizas una clave gestionada por el AWS KMS cliente en tus espacios de trabajo de Grafana gestionada por Amazon, puedes utilizar AWS CloudTrail Amazon CloudWatch Logs para realizar un seguimiento de las solicitudes que envía Amazon Managed Grafana. AWS KMS
Los siguientes ejemplos son AWS CloudTrail eventos para CreateGrant DescribeKeyGenerateDataKey, y para monitorear las operaciones de KMS Decrypt a las que Amazon Managed Grafana llama para acceder a los datos cifrados por su clave administrada por el cliente:
CreateGrant
Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tu espacio de trabajo, Amazon Managed Grafana CreateGrant envía solicitudes en tu nombre para acceder a la clave de KMS que has especificado. Las subvenciones que crea Amazon Managed Grafana son específicas del recurso asociado a la clave gestionada por el AWS KMS cliente.
El siguiente evento de ejemplo registra una operación CreateGrant:
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLE-KEY-ID1", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-22T17:02:00Z" } }, "invokedBy": "grafana.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "retiringPrincipal": "grafana.amazonaws.com", "operations": [ "CreateGrant", "DescribeKey", "ReEncryptTo", "ReEncryptFrom", "Encrypt", "Decrypt", "GenerateDataKey", "GenerateDataKeyWithoutPlaintext", "RetireGrant" ], "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "granteePrincipal": "grafana.amazonaws.com" }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE" }, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" }
DescribeKey
Amazon Managed Grafana utiliza la DescribeKey operación para verificar si la clave gestionada por el AWS KMS cliente asociada a tu espacio de trabajo existe en la cuenta y la región.
El siguiente evento de ejemplo registra la operación DescribeKey:
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLE-KEY-ID1", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-22T17:02:00Z" } }, "invokedBy": "grafana.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" }
GenerateDataKey
Amazon Managed Grafana utiliza la GenerateDataKey operación para generar claves de datos que se utilizan para cifrar los datos del espacio de trabajo.
El siguiente evento de ejemplo registra la operación GenerateDataKey:
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLE-KEY-ID1", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-22T17:02:00Z" } }, "invokedBy": "grafana.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "keySpec": "AES_256" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" }
Decrypt
Amazon Managed Grafana utiliza la Decrypt operación para descifrar las claves de datos cifradas para que puedan usarse para descifrar los datos del espacio de trabajo.
El siguiente evento de ejemplo registra la operación Decrypt:
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLE-KEY-ID1", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "TESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-22T17:02:00Z" } }, "invokedBy": "grafana.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "encryptionContext": { "aws:grafana:workspace-id": "g-1234567890abcdef0" } }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" }
Más información
Los siguientes recursos proporcionan más información sobre cifrado de datos en reposo.
Para obtener más información sobre las prácticas recomendadas de seguridad AWS KMS, consulte la Guía para AWS KMS desarrolladores.
