Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cifrado en reposo
<a name="AMG-encryption-at-rest"></a>

De forma predeterminada, Amazon Managed Grafana te proporciona automáticamente el cifrado en reposo y lo hace con las claves de cifrado AWS propias.
+ **AWS claves propias**: Grafana, gestionada por Amazon, utiliza estas claves para cifrar automáticamente los datos de tu espacio de trabajo. No puedes ver, administrar ni usar las claves AWS propias, ni auditar su uso. Sin embargo, no tiene que realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran sus datos. Para obtener más información, consulta [las claves AWS propias](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) en la *Guía para AWS KMS desarrolladores*.

El cifrado de datos en reposo ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales de los clientes, como la información de identificación personal. Le permite crear aplicaciones seguras que cumplen con los estrictos requisitos normativos y de conformidad del cifrado.

Cuando cree su espacio de trabajo, también puede optar por utilizar una clave administrada por el cliente:
+ **Claves administradas por el cliente**: Amazon Managed Grafana admite el uso de una clave simétrica administrada por el cliente que usted crea, posee y administra para cifrar los datos de su espacio de trabajo. Como usted tiene el control total de este cifrado, puede realizar tareas como las siguientes:
  + Establecer y mantener políticas de claves
  + Establecer y mantener concesiones y políticas de IAM
  + Habilitar y deshabilitar políticas de claves
  + Rotar el material criptográfico
  + Adición de etiquetas de 
  + Crear alias de clave
  + Programar la eliminación de claves

[Para obtener más información, consulte [las claves administradas por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en la *Guía para AWS KMS desarrolladores* y ¿Qué es? AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)

Elija si desea utilizar con cuidado las claves gestionadas por el cliente o las claves AWS propias. Los espacios de trabajo creados con claves administradas por el cliente no se pueden convertir para usar claves AWS propias más adelante (y viceversa).

**nota**  
Grafana gestionada por Amazon habilita automáticamente el cifrado en reposo mediante claves AWS propias para proteger tus datos sin coste alguno.
Sin embargo, se aplican AWS KMS cargos por el uso de una clave administrada por el cliente. Para obtener más información acerca de los precios, consulte [Precios de AWS KMS](https://aws.amazon.com/kms/pricing/).

**importante**  
Si inhabilitas la clave gestionada por el cliente o eliminas el acceso a Grafana gestionado por Amazon en la política de claves, tu espacio de trabajo quedará inaccesible. El espacio de trabajo permanecerá en un `ACTIVE` estado, pero no estará disponible desde el punto de vista funcional. Dispones de 7 días para restablecer el acceso volviendo a habilitar la clave o restaurando la política de claves. Después de 7 días, el espacio de trabajo pasará a un `FAILED` estado y solo se podrá eliminar.
Si se programa la eliminación de una clave, hay un período de espera mínimo de 7 días antes de que se elimine la clave. AWS KMS Una vez que se elimina una clave, no se puede restaurar y cualquier espacio de trabajo cifrado con esa clave perderá permanentemente el acceso a sus datos.
El cifrado de claves gestionado por el cliente solo está disponible al crear nuevos espacios de trabajo. Los espacios de trabajo existentes no se pueden convertir para usar claves administradas por el cliente.
No puedes modificar la clave gestionada por el cliente de un espacio de trabajo tras su creación.

## Cómo Amazon Managed Grafana utiliza las subvenciones en AWS KMS
<a name="AMG-encryption-grants"></a>

Amazon Managed Grafana requiere subvenciones para utilizar tu clave gestionada por el cliente.

Cuando creas un espacio de trabajo de Grafana gestionado por Amazon cifrado con una clave gestionada por el cliente, Amazon Managed Grafana crea subvenciones en tu nombre enviando solicitudes a. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS Las concesiones se AWS KMS utilizan para conceder a Grafana gestionada por Amazon acceso a la clave KMS de su cuenta, incluso cuando no se ha llamado directamente en su nombre (por ejemplo, al almacenar datos del panel de control o configuraciones de usuario).

Amazon Managed Grafana exige que las subvenciones utilicen tu clave gestionada por el cliente para las siguientes operaciones internas:
+ Envíe [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitudes para AWS KMS crear subvenciones adicionales según sea necesario.
+ Envíe [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)solicitudes AWS KMS a para comprobar que la clave KMS simétrica gestionada por el cliente que se proporcionó al crear un espacio de trabajo es válida.
+ Envía [ReEncryptTo y ReEncryptFrom](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) solicita que se vuelvan AWS KMS a cifrar los datos cuando cambies de un contexto de cifrado diferente.
+ Envíe solicitudes de cifrado AWS KMS a para [cifrar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) los datos directamente con la clave gestionada por el cliente.
+ Envíe solicitudes de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS a para descifrar las claves de datos cifrados para que puedan usarse para cifrar sus datos.
+ Envíe [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitudes AWS KMS para generar claves de datos cifradas con su clave gestionada por el cliente.
+ Envíe [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)solicitudes AWS KMS para generar claves de datos cifradas sin devolver la versión de texto simple.
+ Envíe [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)solicitudes AWS KMS para retirar las subvenciones que ya no sean necesarias.

Amazon Managed Grafana crea concesiones a la AWS KMS clave que permiten a Amazon Managed Grafana utilizar la clave en tu nombre. Puede eliminar el acceso a la clave cambiando la política de claves, deshabilitando la clave o revocando la concesión. Debe comprender las consecuencias de estas acciones antes de llevarlas a cabo. Esto puede provocar la pérdida de datos en su espacio de trabajo.

Si eliminas el acceso a alguna de las subvenciones de alguna forma, Amazon Managed Grafana no podrá acceder a ninguno de los datos cifrados por la clave gestionada por el cliente ni almacenar los nuevos datos que se envíen al espacio de trabajo, lo que afectará a las operaciones que dependen de esos datos. No se podrá acceder a las nuevas actualizaciones del espacio de trabajo y es posible que se pierdan permanentemente.

**aviso**  
Si inhabilitas la clave o eliminas el acceso a Grafana gestionado por Amazon en la política de claves, ya no podrás acceder a los datos del espacio de trabajo. El espacio de trabajo permanecerá en un `ACTIVE` estado, pero no estará disponible desde el punto de vista funcional. No se podrá acceder a las nuevas actualizaciones que se envíen al espacio de trabajo y es posible que se pierdan permanentemente. Puedes restablecer el acceso a los datos del espacio de trabajo y reanudar la recepción de nuevos datos si vuelves a habilitar la clave o restablece el acceso de Grafana gestionado por Amazon a la clave en un plazo de 7 días. Tras 7 días sin acceso, el espacio de trabajo pasará a un `FAILED` estado.
Si programa la eliminación de la clave AWS KMS, se eliminará una vez transcurrido el período de espera obligatorio de 7 días. Una vez eliminada, la clave no se podrá restaurar y los datos del espacio de trabajo permanecerán inaccesibles de forma permanente.
Si *revoca* una concesión, no se podrá volver a crear y los datos del espacio de trabajo se perderán de forma permanente.
Amazon Managed Grafana crea subvenciones adicionales para niños a través de Amazon RDS debido a su dependencia de RDS para el almacenamiento de datos. La revocación de estas subvenciones relacionadas con el RDS tendrá el mismo efecto de pérdida permanente de datos que la revocación de las subvenciones principales de Grafana.

## Paso 1: Crear una clave administrada por el cliente
<a name="AMG-encryption-create-key"></a>

Puede crear una clave simétrica gestionada por el cliente mediante la Consola de administración o la AWS . AWS KMS APIs La clave debe estar en la misma región que el espacio de trabajo de Grafana gestionado por Amazon y debe ser una clave simétrica con `ENCRYPT_DECRYPT` el uso de claves.

**Para crear una clave simétrica administrada por el cliente**
+ Siga los pasos para [crear una clave simétrica gestionada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) que se indican en la *Guía para desarrolladores de AWS KMS *.

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte [Administración del acceso a las claves](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) en la *Guía para desarrolladores de AWS KMS *.

Para usar tu clave gestionada por el cliente en tus espacios de trabajo de Grafana gestionados por Amazon, la política de claves debe permitir las siguientes operaciones de API:
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — Añade una concesión a una clave gestionada por el cliente. Otorga el acceso de control a una clave de KMS específica, que permite el acceso a [las operaciones de subvención](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) que Amazon Managed Grafana requiere. Para obtener más información, consulte [Uso de concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la *Guía para desarrolladores de AWS KMS *. Esto permite a Amazon Managed Grafana hacer lo siguiente:
  + Llame `GenerateDataKey` para generar una clave de datos cifrada y almacenarla.
  + Llamar a `Decrypt` para usar la clave de datos cifrados almacenada para acceder a los datos cifrados.
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Proporciona los detalles clave gestionados por el cliente para que Amazon Managed Grafana pueda validar la clave.

Los siguientes son ejemplos de declaraciones de política que puedes añadir a Grafana gestionada por Amazon:

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow IAM Users and Roles to validate KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "Allow IAM Users and Roles to create grant on KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": "kms:CreateGrant",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ],
          "kms:GrantConstraintType": "EncryptionContextSubset"
        },
        "ForAllValues:StringEquals": {
          "kms:GrantOperations": [
            "CreateGrant",
            "RetireGrant",
            "Decrypt",
            "Encrypt",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo"
          ]
        }
      }
    }
  ]
}
```
+ Para obtener más información sobre cómo especificar los permisos en una política, consulte la [Guía para desarrolladores de AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
+ Para obtener más información sobre la solución de problemas de acceso a las claves, consulte la [Guía AWS para desarrolladores del Servicio de administración](https://docs.aws.amazon.com/kms/latest/developerguide/) de claves.

## Paso 2: Especificar una clave gestionada por el cliente para Amazon Managed Grafana
<a name="AMG-encryption-specify-key"></a>

Al crear un espacio de trabajo, puede especificar la clave gestionada por el cliente introduciendo un ARN de clave KMS, que Amazon Managed Grafana utiliza para cifrar los datos almacenados en el espacio de trabajo.

1. Abra la consola de Amazon Managed Grafana en [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/).

1. Elija **Crear espacio de trabajo**.

1. En la sección **Cifrado**, seleccione **Clave gestionada por el cliente**.

1. Introduzca el ARN de la clave gestionada por el cliente en el campo **ARN de clave de KMS.**

1. Complete la configuración restante del espacio de trabajo y elija **Crear** espacio de trabajo.

Puede especificar una clave gestionada por el cliente al crear un espacio de trabajo mediante el `--kms-key-id` parámetro:

```
aws grafana create-workspace \
    --workspace-name "my-encrypted-workspace" \
    --workspace-description "Workspace with customer managed encryption" \
    --account-access-type "CURRENT_ACCOUNT" \
    --authentication-providers "AWS_SSO" \
    --permission-type "SERVICE_MANAGED" \
    --kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
```

## Supervisión de las claves de cifrado de Grafana gestionado por Amazon
<a name="AMG-encryption-monitoring"></a>

Cuando utilizas una clave gestionada por el AWS KMS cliente en tus espacios de trabajo de Grafana gestionada por Amazon, puedes utilizar AWS CloudTrail Amazon CloudWatch Logs para realizar un seguimiento de las solicitudes que envía Amazon Managed Grafana. AWS KMS

Los siguientes ejemplos son AWS CloudTrail eventos para `CreateGrant` `DescribeKey``GenerateDataKey`, y para monitorear las operaciones de KMS `Decrypt` a las que Amazon Managed Grafana llama para acceder a los datos cifrados por su clave administrada por el cliente:

Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tu espacio de trabajo, Amazon Managed Grafana `CreateGrant` envía solicitudes en tu nombre para acceder a la clave de KMS que has especificado. Las subvenciones que crea Amazon Managed Grafana son específicas del recurso asociado a la clave gestionada por el AWS KMS cliente.

El siguiente evento de ejemplo registra una operación `CreateGrant`:

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Amazon Managed Grafana utiliza la `DescribeKey` operación para verificar si la clave gestionada por el AWS KMS cliente asociada a tu espacio de trabajo existe en la cuenta y la región.

El siguiente evento de ejemplo registra la operación `DescribeKey`:

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Amazon Managed Grafana utiliza la `GenerateDataKey` operación para generar claves de datos que se utilizan para cifrar los datos del espacio de trabajo.

El siguiente evento de ejemplo registra la operación `GenerateDataKey`:

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Amazon Managed Grafana utiliza la `Decrypt` operación para descifrar las claves de datos cifradas para que puedan usarse para descifrar los datos del espacio de trabajo.

El siguiente evento de ejemplo registra la operación `Decrypt`:

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

## Más información
<a name="AMG-encryption-learn-more"></a>

Los siguientes recursos proporcionan más información sobre cifrado de datos en reposo.
+ [Para obtener más información sobre los conceptos AWS KMS básicos, consulte la AWS KMS Guía para desarrolladores.](https://docs.aws.amazon.com/kms/latest/developerguide/)
+ Para obtener más información sobre las prácticas recomendadas de seguridad AWS KMS, consulte la [Guía para AWS KMS desarrolladores](https://docs.aws.amazon.com/kms/latest/developerguide/).