Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Perlindungan Data di Alur Kerja Terkelola Amazon untuk Apache Airflow
<a name="data-protection"></a>

[Model tanggung jawab AWS bersama model tanggung jawab](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Alur Kerja Terkelola Amazon untuk Apache Airflow. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk menjaga kontrol atas konten yang dihosting di infrastruktur ini. Konten ini mencakup konfigurasi keamanan dan tugas manajemen untuk yang Layanan AWS Anda gunakan. Untuk informasi lebih lanjut tentang privasi data, lihat [FAQ Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq).  Untuk informasi tentang perlindungan data di Eropa, lihat [Model Tanggung Jawab AWS Bersama dan posting blog GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog AWS Keamanan*.

Untuk tujuan perlindungan data, kami menyarankan Anda untuk melindungi Akun AWS kredensil dan menyiapkan akun pengguna individu dengan AWS Identity and Access Management (IAM). Dengan cara ini, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugas mereka. Kami juga merekomendasikan agar Anda mengamankan data Anda dengan cara-cara berikut ini:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami merekomendasikan TLS 1.2 atau versi yang lebih baru.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default dalam AWS layanan.
+ Gunakan layanan keamanan terkelola lanjutan seperti Amazon Macie, yang membantu menemukan dan mengamankan data pribadi yang disimpan di Amazon S3.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Amazon MWAA atau AWS layanan lain menggunakan konsol, API AWS CLI, atau. AWS SDKs Data apa pun yang Anda masukkan ke dalam tag atau kolom formulir bebas yang digunakan untuk nama dapat digunakan untuk penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

# Enkripsi di Amazon MWAA
<a name="encryption"></a>

Topik berikut menjelaskan bagaimana Amazon MWAA melindungi data Anda saat istirahat, dan dalam perjalanan. Gunakan informasi ini untuk mempelajari cara Amazon MWAA terintegrasi dengan AWS KMS mengenkripsi data saat istirahat, dan cara data dienkripsi menggunakan protokol Transport Layer Security (TLS) dalam perjalanan.

**Topics**
+ [

## Enkripsi saat diam
](#encryption-at-rest)
+ [

## Enkripsi saat bergerak
](#encryption-in-transit)

## Enkripsi saat diam
<a name="encryption-at-rest"></a>

Di Amazon MWAA, data *saat istirahat* adalah data yang disimpan layanan ke media persisten.

Anda dapat menggunakan [kunci yang AWS dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) untuk enkripsi data saat istirahat, atau secara opsional menyediakan [kunci yang dikelola Pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk enkripsi tambahan saat Anda membuat lingkungan. Jika Anda memilih untuk menggunakan kunci KMS yang dikelola pelanggan, kunci tersebut harus berada di akun yang sama dengan AWS sumber daya dan layanan lain yang Anda gunakan dengan lingkungan Anda.

Untuk menggunakan kunci KMS yang dikelola pelanggan, Anda harus melampirkan pernyataan kebijakan yang diperlukan untuk CloudWatch akses ke kebijakan utama Anda. [Saat Anda menggunakan kunci KMS yang dikelola pelanggan untuk lingkungan Anda, Amazon MWAA melampirkan empat hibah atas nama Anda.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) [Untuk informasi selengkapnya tentang hibah Amazon MWAA yang dilampirkan ke kunci KMS yang dikelola pelanggan, lihat Kunci yang dikelola pelanggan untuk enkripsi data.](custom-keys-certs.md)

Jika Anda tidak menentukan kunci KMS yang dikelola pelanggan, secara default, Amazon MWAA menggunakan kunci KMS yang AWS dimiliki untuk mengenkripsi dan mendekripsi data Anda. Kami merekomendasikan menggunakan kunci KMS yang AWS dimiliki untuk mengelola enkripsi data di Amazon MWAA.

**catatan**  
Anda membayar penyimpanan dan penggunaan kunci KMS yang AWS dimiliki, atau dikelola pelanggan di Amazon MWAA. Untuk informasi lebih lanjut, lihat [AWS KMS Harga](https://aws.amazon.com/kms/pricing/).

### Artefak enkripsi
<a name="encryption-at-rest-services"></a>

Anda menentukan artefak enkripsi yang digunakan untuk enkripsi saat istirahat dengan menentukan kunci yang [AWS dimiliki atau kunci](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) yang [dikelola Pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) saat Anda membuat lingkungan Amazon MWAA Anda. Amazon MWAA menambahkan [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) yang diperlukan ke kunci yang Anda tentukan.

**Amazon S3 - Data Amazon S3** dienkripsi pada tingkat objek menggunakan Server-Side Encryption (SSE). Enkripsi dan dekripsi Amazon S3 berlangsung di bucket Amazon S3 tempat kode DAG dan file pendukung Anda disimpan. Objek dienkripsi saat diunggah ke Amazon S3 dan didekripsi saat diunduh ke lingkungan Amazon MWAA Anda. Secara default, jika Anda menggunakan kunci KMS yang dikelola pelanggan, Amazon MWAA menggunakannya untuk membaca dan mendekripsi data di bucket Amazon S3 Anda.

**CloudWatch Log** — Jika Anda menggunakan kunci KMS yang AWS dimiliki, log Apache Airflow yang dikirim CloudWatch ke Log dienkripsi menggunakan CloudWatch SSE dengan kunci KMS milik Log. AWS Jika Anda menggunakan kunci KMS yang dikelola pelanggan, Anda harus menambahkan [kebijakan kunci ke kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) KMS Anda untuk mengizinkan CloudWatch Log menggunakan kunci Anda.

**Amazon SQS** - Amazon MWAA membuat satu antrian Amazon SQS untuk lingkungan Anda. Amazon MWAA menangani enkripsi data yang diteruskan ke dan dari antrian menggunakan SSE dengan kunci KMS yang AWS dimiliki, atau kunci KMS yang dikelola pelanggan yang Anda tentukan. Anda harus menambahkan izin Amazon SQS ke peran eksekusi terlepas dari apakah Anda menggunakan kunci KMS yang AWS dimiliki atau dikelola pelanggan.

**Aurora PostgreSQL — Amazon MWAA membuat satu cluster PostgreSQL** untuk lingkungan Anda. Aurora PostgreSQL mengenkripsi konten dengan kunci KMS yang dimiliki atau dikelola pelanggan menggunakan SSE. AWS Jika Anda menggunakan kunci KMS yang dikelola pelanggan, Amazon RDS menambahkan setidaknya dua hibah ke kunci: satu untuk cluster dan satu untuk instance database. Amazon RDS dapat membuat hibah tambahan jika Anda memilih untuk menggunakan kunci KMS yang dikelola pelanggan di beberapa lingkungan. Untuk informasi selengkapnya, lihat [Perlindungan data di Amazon RDS.](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/DataDurability.html)

## Enkripsi saat bergerak
<a name="encryption-in-transit"></a>

Data dalam perjalanan disebut sebagai data yang dapat dicegat saat melakukan perjalanan jaringan.

Transport Layer Security (TLS) mengenkripsi objek Amazon MWAA dalam perjalanan antara komponen Apache Airflow lingkungan Anda dan layanan lain AWS yang terintegrasi dengan Amazon MWAA, seperti Amazon S3. Untuk informasi selengkapnya tentang enkripsi Amazon S3, lihat [Melindungi data menggunakan](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) enkripsi.

# Menggunakan kunci yang dikelola pelanggan untuk enkripsi
<a name="custom-keys-certs"></a>

Anda dapat secara opsional memberikan [kunci yang dikelola Pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk enkripsi data di lingkungan Anda. Anda harus membuat kunci KMS yang dikelola pelanggan di Wilayah yang sama dengan instans lingkungan Amazon MWAA dan bucket Amazon S3 tempat Anda menyimpan sumber daya untuk alur kerja. Jika kunci KMS yang dikelola pelanggan yang Anda tentukan berada di akun yang berbeda dari yang Anda gunakan untuk mengonfigurasi lingkungan, Anda harus menentukan kunci menggunakan ARN untuk akses lintas akun. Untuk informasi selengkapnya tentang membuat kunci, lihat [Membuat Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS Key Management Service Pengembang*.

## Apa yang didukung
<a name="custom-keys-grants-support"></a>


| AWS KMS fitur | Didukung | 
| --- | --- | 
|  [ID AWS KMS kunci atau ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html).  |  Ya  | 
|  [Alias AWS KMS kunci](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html).  |  Tidak  | 
|  [Kunci AWS KMS multi-wilayah](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html).  |  Tidak  | 

## Menggunakan Hibah untuk Enkripsi
<a name="custom-keys-grants-provide"></a>

Topik ini menjelaskan hibah Amazon MWAA yang dilampirkan ke kunci KMS yang dikelola pelanggan atas nama Anda untuk mengenkripsi dan mendekripsi data Anda.

### Cara kerjanya
<a name="custom-keys-certs-grants"></a>

[https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)

Kebijakan kunci digunakan ketika izin sebagian besar statis dan digunakan dalam mode layanan sinkron. Hibah digunakan ketika izin yang lebih dinamis dan terperinci diperlukan, seperti ketika layanan perlu menentukan izin akses yang berbeda untuk dirinya sendiri atau akun lain.

Amazon MWAA menggunakan dan melampirkan empat kebijakan hibah ke kunci KMS yang dikelola pelanggan Anda. Hal ini disebabkan oleh izin granular yang diperlukan untuk lingkungan untuk mengenkripsi data saat istirahat dari CloudWatch Log, antrian Amazon SQS, database database PostgreSQL Aurora, rahasia Secrets Manager, bucket Amazon S3, dan tabel DynamoDB.

Saat Anda membuat lingkungan Amazon MWAA dan menentukan kunci KMS yang dikelola pelanggan, Amazon MWAA melampirkan kebijakan hibah ke kunci KMS yang dikelola pelanggan. Kebijakan ini memungkinkan Amazon MWAA menggunakan kunci KMS yang dikelola pelanggan `airflow.us-east-1.amazonaws.com` untuk mengenkripsi sumber daya atas nama Anda yang dimiliki oleh Amazon MWAA.

Amazon MWAA membuat, dan melampirkan, hibah tambahan ke kunci KMS tertentu atas nama Anda. Ini termasuk kebijakan untuk menghentikan hibah jika Anda menghapus lingkungan, menggunakan kunci KMS yang dikelola pelanggan untuk Enkripsi Sisi Klien (CSE), dan untuk peran AWS Fargate eksekusi yang perlu mengakses rahasia yang dilindungi oleh kunci yang dikelola pelanggan di Secrets Manager.

## Kebijakan hibah
<a name="custom-keys-certs-grant-policies"></a>

Amazon MWAA menambahkan hibah [kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) berikut atas nama Anda ke kunci KMS yang dikelola pelanggan. Kebijakan ini memungkinkan penerima hibah dan kepala sekolah (Amazon MWAA) untuk melakukan tindakan yang ditentukan dalam kebijakan.

### Hibah 1: digunakan untuk membuat sumber daya bidang data
<a name="custom-keys-certs-grant-policies-1"></a>

```
{
  "Name": "mwaa-grant-for-env-mgmt-role-environment name",
  "GranteePrincipal": "airflow.us-east-1.amazonaws.com",
  "RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
  "Operations": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:CreateGrant",
    "kms:DescribeKey",
    "kms:RetireGrant"
  ]
}
```

### Hibah 2: digunakan untuk `ControllerLambdaExecutionRole` akses
<a name="custom-keys-certs-grant-policies-2"></a>

```
{
  "Name": "mwaa-grant-for-lambda-exec-environment name",
  "GranteePrincipal": "airflow.us-east-1.amazonaws.com",
  "RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
  "Operations": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey",
    "kms:RetireGrant"
  ]
}
```

### Hibah 3: digunakan untuk `CfnManagementLambdaExecutionRole` akses
<a name="custom-keys-certs-grant-policies-3"></a>

```
{
  "Name": " mwaa-grant-for-cfn-mgmt-environment name",
  "GranteePrincipal": "airflow.us-east-1.amazonaws.com",
  "RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
  "Operations": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ]
}
```

### Grant 4: digunakan untuk peran eksekusi Fargate untuk mengakses rahasia backend
<a name="custom-keys-certs-grant-policies-4"></a>

```
{
  "Name": "mwaa-fargate-access-for-environment name",
  "GranteePrincipal": "airflow.us-east-1.amazonaws.com",
  "RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
  "Operations": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey",
    "kms:RetireGrant"
  ]
}
```

## Melampirkan kebijakan utama ke kunci yang dikelola pelanggan
<a name="custom-keys-certs-grant-policies-attach"></a>

Jika Anda memilih untuk menggunakan kunci KMS yang dikelola pelanggan Anda sendiri dengan Amazon MWAA, Anda harus melampirkan kebijakan berikut ke kunci untuk mengizinkan Amazon MWAA menggunakannya untuk mengenkripsi data Anda.

Jika kunci KMS yang dikelola pelanggan yang Anda gunakan untuk lingkungan Amazon MWAA belum dikonfigurasi untuk berfungsi CloudWatch, Anda harus memperbarui [kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) untuk mengizinkan Log terenkripsi. CloudWatch Untuk informasi selengkapnya, lihat [Enkripsi data log dalam CloudWatch menggunakan AWS Key Management Service layanan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html).

Contoh berikut merupakan kebijakan kunci untuk CloudWatch Log. Gantikan nilai sampel yang disediakan untuk wilayah tersebut.

```
{
  "Effect": "Allow",
  "Principal": {
    "Service": "logs.us-east-1.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt*",
    "kms:Decrypt*",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:Describe*"
  ],
  "Resource": "*",
  "Condition": {
    "ArnLike": {
      "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:*:*"
    }
  }
}
```