Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Arsitektur Referensi AWS Privasi
**Survei**
Kami akan senang mendengar dari Anda. Harap berikan umpan balik tentang AWS PRA dengan mengikuti [survei singkat](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Diagram berikut menggambarkan Arsitektur Referensi AWS Privasi (AWS PRA). Ini adalah contoh arsitektur yang menghubungkan banyak fitur dan terkait privasi Layanan AWS . Arsitektur ini dibangun di atas landing zone yang diatur oleh AWS Control Tower.
![\[Diagram AWS layanan yang digunakan dalam Arsitektur Referensi AWS Privasi\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/privacy-reference-architecture/images/aws-pra-architecture.png)
AWS PRA mencakup arsitektur web tanpa server yang di-host di akun Aplikasi Data Pribadi (PD). Arsitektur dalam akun ini adalah contoh beban kerja yang mengumpulkan data pribadi langsung dari konsumen. Dalam beban kerja ini, pengguna terhubung melalui tingkat web. Tingkat web berinteraksi dengan tingkat aplikasi. Tingkat ini menerima input dari tingkat web, memproses dan menyimpan data, memungkinkan tim internal yang berwenang dan pihak ketiga untuk mengakses data, dan akhirnya mengarsipkan dan menghapus data ketika tidak lagi diperlukan. Arsitekturnya sengaja modular dan didorong oleh peristiwa untuk menunjukkan banyak teknik rekayasa privasi dasar tanpa mempelajari kasus penggunaan tertentu, seperti data lake, container, compute, atau Internet of Things (IoT).
Selanjutnya, panduan ini menjelaskan setiap akun dalam organisasi secara rinci. Ini membahas layanan dan fitur terkait privasi, pertimbangan dan rekomendasi, dan diagram untuk masing-masing akun berikut:
+ [Akun Manajemen Org](org-management-account.md)
+ [Security OU - Akun Perkakas Keamanan](security-tooling-account.md)
+ [Keamanan OU - Akun Arsip Log](log-archive-account.md)
+ [Infrastruktur OU - Akun jaringan](network-account.md)
+ [Data Pribadi OU - Akun Aplikasi PD](personal-data-account.md)
# Akun Manajemen Org
**Survei**
Kami akan senang mendengar dari Anda. Harap berikan umpan balik tentang AWS PRA dengan mengikuti [survei singkat](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Akun Manajemen Org terutama digunakan untuk mengelola penyimpangan konfigurasi sumber daya untuk kontrol privasi dasar di semua akun di organisasi Anda, yang dikelola oleh. AWS Organizations Akun ini juga merupakan tempat Anda dapat menyebarkan akun anggota baru secara konsisten, dengan banyak kontrol keamanan dan privasi yang sama. Untuk informasi selengkapnya tentang akun ini, lihat [Arsitektur Referensi AWS Keamanan (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html). Diagram berikut menggambarkan layanan AWS keamanan dan privasi yang dikonfigurasi di akun Manajemen Org.
![\[AWS layanan yang digunakan di akun Manajemen Org.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Org-Management.png)
**Topics**
+ [
## AWS Artifact
](#aws-artifact)
+ [
## AWS Control Tower
](#aws-control-tower)
+ [
## AWS Organizations
](#aws-organizations)
## AWS Artifact
[AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)dapat membantu Anda dengan audit dengan menyediakan unduhan sesuai permintaan dokumen AWS keamanan dan kepatuhan. Untuk informasi selengkapnya tentang cara layanan ini digunakan dalam konteks keamanan, lihat [Arsitektur Referensi AWS Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-artifact).
Ini Layanan AWS membantu Anda memahami kontrol yang Anda warisi AWS dan menentukan kontrol apa yang mungkin tersisa untuk Anda terapkan di lingkungan Anda. AWS Artifact menyediakan akses ke laporan AWS keamanan dan kepatuhan, seperti laporan Sistem dan Kontrol Organisasi (SOC) dan laporan industri kartu pembayaran (PCI). Ini juga menyediakan akses ke sertifikasi dari badan akreditasi di seluruh geografi dan vertikal kepatuhan yang memvalidasi implementasi dan efektivitas operasi kontrol. AWS Dengan menggunakan AWS Artifact, Anda dapat memberikan artefak AWS audit kepada auditor atau regulator Anda sebagai bukti kontrol AWS keamanan dan privasi. Laporan berikut mungkin berguna untuk menunjukkan efektivitas kontrol AWS privasi:
+ **Laporan Privasi SOC 2 Tipe 2** — Laporan ini menunjukkan efektivitas AWS kontrol untuk bagaimana data pribadi dikumpulkan, digunakan, disimpan, diungkapkan, dan dibuang. Ada juga [laporan Privasi SOC 3,](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf) yang merupakan deskripsi yang kurang rinci tentang kontrol privasi SOC 2. Untuk informasi lebih lanjut, lihat [SOC FAQ](https://aws.amazon.com/compliance/soc-faqs/).
+ **Cloud Computing Compliance Controls Catalog (C5)** — Laporan ini dibuat oleh otoritas keamanan siber nasional Jerman, Bundesamt für Sicherheit in der Informationstechnik (BSI). Ini merinci kontrol keamanan yang AWS diterapkan untuk memenuhi persyaratan C5. Ini juga mencakup persyaratan kontrol tambahan untuk privasi yang berkaitan dengan lokasi data, penyediaan layanan, tempat yurisdiksi, dan kewajiban pengungkapan informasi.
+ **Laporan sertifikasi ISO/IEC 27701:2019** — [ISO/IEC 27701:2019](https://aws.amazon.com/compliance/iso-27701-faqs/?refid=sl_card) menjelaskan persyaratan dan pedoman untuk menetapkan dan terus meningkatkan sistem manajemen informasi privasi (PIMS). Laporan ini merinci ruang lingkup sertifikasi ini dan dapat berfungsi sebagai bukti AWS sertifikasi. Untuk informasi lebih lanjut tentang standar ini, lihat [ISO/IEC 27701:2019](https://www.iso.org/standard/71670.html) (situs web ISO).
## AWS Control Tower
[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)membantu Anda mengatur dan mengatur lingkungan AWS multi-akun yang mengikuti praktik yang direkomendasikan keamanan preskriptif. Untuk informasi selengkapnya tentang cara layanan ini digunakan dalam konteks keamanan, lihat [Arsitektur Referensi AWS Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-tower).
Di AWS Control Tower, Anda juga dapat mengotomatiskan penyebaran banyak kontrol proaktif, preventif, dan detektif, juga dikenal sebagai *pagar pembatas, yang selaras dengan persyaratan privasi data Anda, khusus untuk residensi* dan kedaulatan data. Misalnya, Anda dapat menentukan pagar pembatas yang membatasi transfer data hanya disetujui. Wilayah AWS*Untuk kontrol yang lebih terperinci, Anda dapat memilih dari lebih dari 17 pagar pembatas yang dirancang untuk mengontrol residensi data, seperti Larang *koneksi Jaringan Pribadi Virtual Amazon (VPN)*, Larang *akses internet untuk instance VPC Amazon, dan Tolak* akses berdasarkan permintaan. AWS Wilayah AWS* Pagar pembatas ini terdiri dari sejumlah AWS CloudFormation kait, kebijakan kontrol layanan, dan AWS Config aturan yang dapat diterapkan secara seragam di seluruh organisasi Anda. Untuk informasi selengkapnya, lihat [Kontrol yang meningkatkan perlindungan residensi data](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html) dalam AWS Control Tower dokumentasi.
Untuk kedaulatan data, AWS Control Tower saat ini menyediakan kontrol pencegahan, seperti *Mengharuskan volume Amazon EBS terlampir dikonfigurasi untuk mengenkripsi data saat istirahat* dan *Memerlukan kebijakan AWS KMS utama untuk memiliki pernyataan yang membatasi pembuatan hibah*. AWS KMS Layanan AWS Kontrol kedaulatan lebih luas dari sekedar kontrol residensi data. Mereka membantu mencegah tindakan yang mungkin melanggar residensi data, pembatasan akses terperinci, enkripsi, dan persyaratan ketahanan. Untuk informasi lebih lanjut, lihat [Kontrol pencegahan yang membantu kedaulatan digital](https://docs.aws.amazon.com/controltower/latest/controlreference/ds-preventive-controls.html) dalam dokumentasi. AWS Control Tower
[Jika Anda perlu menerapkan pagar pembatas privasi di luar kontrol residensi dan kedaulatan data, sertakan sejumlah kontrol wajib. AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) Kontrol ini diterapkan secara default di setiap OU saat Anda mengatur landing zone. Banyak di antaranya adalah kontrol pencegahan yang dirancang untuk melindungi log, seperti Larang *Penghapusan Arsip Log dan *Aktifkan Validasi Integritas* untuk File Log*. CloudTrail
AWS Control Tower juga terintegrasi dengan AWS Security Hub CSPM untuk menyediakan kontrol detektif. Kontrol ini dikenal sebagai [Standar yang Dikelola Layanan](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Anda dapat menggunakan kontrol ini untuk memantau penyimpangan konfigurasi kontrol pendukung privasi, seperti enkripsi saat istirahat untuk instans database Amazon Relational Database Service (Amazon RDS).
## AWS Organizations
AWS PRA menggunakan AWS Organizations untuk mengelola semua akun dalam arsitektur secara terpusat. Untuk informasi selengkapnya, lihat [AWS Organizations dan struktur akun khusus](organization-account-structure.md) dalam panduan ini. Di AWS Organizations, Anda dapat menggunakan kebijakan kontrol layanan (SCPs) dan [kebijakan manajemen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html) untuk membantu melindungi data pribadi dan privasi.
### Kebijakan kontrol layanan (SCPs)
[Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk mengelola izin di organisasi Anda. Mereka memberikan kontrol terpusat atas izin maksimum yang tersedia untuk peran AWS Identity and Access Management (IAM) dan pengguna di akun target, unit organisasi (OU), atau seluruh organisasi. Anda dapat membuat dan mendaftar SCPs dari akun Manajemen Org.
Anda dapat menggunakan AWS Control Tower untuk menyebarkan SCPs secara seragam di seluruh akun Anda. Untuk informasi lebih lanjut tentang kontrol residensi data yang dapat Anda terapkan AWS Control Tower, lihat [AWS Control Tower](#aws-control-tower) di panduan ini. AWS Control Tower termasuk pelengkap penuh pencegahan SCPs. Jika saat ini AWS Control Tower tidak digunakan di organisasi, Anda juga dapat menerapkan kontrol ini secara manual.
#### Menggunakan SCPs untuk mengatasi persyaratan residensi data
Adalah umum untuk mengelola persyaratan residensi data pribadi dengan menyimpan dan memproses data dalam wilayah geografis tertentu. Untuk memverifikasi bahwa persyaratan residensi data unik yurisdiksi terpenuhi, kami menyarankan Anda bekerja sama dengan tim pengatur Anda untuk mengonfirmasi persyaratan Anda. Ketika persyaratan ini telah ditentukan, ada sejumlah kontrol privasi AWS dasar yang dapat membantu mendukung. Misalnya, Anda dapat menggunakan SCPs untuk membatasi yang Wilayah AWS dapat digunakan untuk memproses dan menyimpan data. Untuk contoh kebijakan, lihat [Batasi transfer data di seluruh Wilayah AWS](restrict-data-transfers-across-regions.md) di panduan ini.
#### Menggunakan SCPs untuk membatasi panggilan API berisiko tinggi
Penting untuk memahami kontrol keamanan dan privasi mana yang AWS bertanggung jawab atas dan mana yang menjadi tanggung jawab Anda. Misalnya, Anda bertanggung jawab atas hasil panggilan API yang dapat dilakukan terhadap Layanan AWS yang Anda gunakan. Anda juga bertanggung jawab untuk memahami panggilan mana yang dapat mengakibatkan perubahan pada postur keamanan atau privasi Anda. Jika Anda khawatir tentang mempertahankan postur keamanan dan privasi tertentu, Anda dapat SCPs mengaktifkannya menolak panggilan API tertentu. Panggilan API ini mungkin memiliki implikasi, seperti pengungkapan data pribadi yang tidak diinginkan atau pelanggaran transfer data lintas batas tertentu. Misalnya, Anda mungkin ingin melarang panggilan API berikut:
+ Mengaktifkan akses publik ke bucket Amazon Simple Storage Service (Amazon S3)
+ [Menonaktifkan Amazon GuardDuty atau membuat aturan penekanan untuk temuan eksfiltrasi data, seperti temuan Trojan: EC2/Ekfiltrasi DNSData](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#trojan-ec2-dnsdataexfiltration)
+ Menghapus aturan AWS WAF eksfiltrasi data
+ Berbagi snapshot Amazon Elastic Block Store (Amazon EBS) secara publik
+ Menghapus akun anggota dari organisasi
+ Memisahkan Amazon CodeGuru Reviewer dari repositori
### Kebijakan pengelolaan
[Kebijakan manajemen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html) AWS Organizations dapat membantu Anda mengonfigurasi Layanan AWS dan mengelola secara terpusat serta fitur-fiturnya. Jenis kebijakan manajemen yang Anda pilih menentukan bagaimana kebijakan memengaruhi OUs dan akun yang mewarisinya. [Kebijakan tag](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) adalah contoh kebijakan manajemen AWS Organizations yang berhubungan langsung dengan privasi.
#### Menggunakan kebijakan tag
[Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) adalah pasangan nilai kunci yang membantu Anda mengelola, mengidentifikasi, mengatur, mencari, dan memfilter AWS sumber daya. Hal ini dapat berguna untuk menerapkan tag yang membedakan sumber daya di organisasi Anda yang menangani data pribadi. Penggunaan tag mendukung banyak solusi privasi dalam panduan ini. Misalnya, Anda mungkin ingin menerapkan tag yang menunjukkan klasifikasi data umum dari data yang sedang diproses atau disimpan dalam sumber daya. Anda dapat menulis kebijakan kontrol akses berbasis atribut (ABAC) yang membatasi akses ke sumber daya yang memiliki tag atau kumpulan tag tertentu. Misalnya, kebijakan Anda mungkin menentukan bahwa `SysAdmin` peran tidak dapat mengakses sumber daya yang memiliki `dataclassification:4` tag. Untuk informasi selengkapnya dan tutorial, lihat [Menentukan izin untuk mengakses AWS sumber daya berdasarkan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam dokumentasi IAM. Selain itu, jika organisasi Anda menggunakan [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)untuk menerapkan kebijakan penyimpanan data secara luas di seluruh pencadangan di banyak akun, Anda dapat menerapkan tag yang menempatkan sumber daya tersebut dalam cakupan kebijakan pencadangan tersebut.
[Kebijakan tag](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) membantu Anda mempertahankan tag yang konsisten di seluruh organisasi Anda. Dalam kebijakan tag, Anda menentukan aturan yang berlaku untuk sumber daya saat diberi tag. Misalnya, Anda dapat meminta sumber daya untuk diberi tag dengan kunci tertentu, seperti `DataClassification` atau`DataSteward`, dan Anda dapat menentukan perlakuan kasus atau nilai yang valid untuk kunci. Anda juga dapat menggunakan [penegakan hukum](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-enforcement.html) untuk mencegah permintaan penandaan yang tidak sesuai selesai.
Saat menggunakan tag sebagai komponen inti dari strategi kontrol privasi Anda, pertimbangkan hal berikut:
+ Pertimbangkan implikasi penempatan data pribadi atau jenis data sensitif lainnya dalam kunci atau nilai tag. Ketika Anda menghubungi AWS untuk bantuan teknis, AWS mungkin menganalisis tag dan pengenal sumber daya lainnya untuk membantu menyelesaikan masalah. Data tag tidak dienkripsi, dan, seperti Layanan AWS AWS Manajemen Penagihan dan Biaya, dapat membacanya. Oleh karena itu, Anda mungkin ingin membatalkan identifikasi nilai tag dan kemudian mengidentifikasinya kembali dengan menggunakan sistem yang Anda kontrol, seperti sistem manajemen layanan TI (ITSM). AWS merekomendasikan untuk tidak memasukkan informasi yang dapat diidentifikasi secara pribadi dalam tag.
+ Pertimbangkan bahwa beberapa nilai tag perlu dibuat tidak berubah (tidak dapat dimodifikasi) untuk mencegah pengelakan kontrol teknis, seperti kondisi ABAC yang bergantung pada tag.
# Security OU - Akun Perkakas Keamanan
**Survei**
Kami akan senang mendengar dari Anda. Harap berikan umpan balik tentang AWS PRA dengan mengikuti [survei singkat](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Akun Security Tooling didedikasikan untuk mengoperasikan layanan dasar keamanan dan privasi, pemantauan Akun AWS, dan otomatisasi peringatan dan respons keamanan dan privasi. Untuk informasi selengkapnya tentang akun ini, lihat [Arsitektur Referensi AWS Keamanan (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html). Diagram berikut menggambarkan layanan AWS keamanan dan privasi yang dikonfigurasi di akun Security Tooling.
![\[Layanan AWS dikerahkan di akun Security Tooling di unit organisasi Keamanan.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Security-Tooling.png)
**Topics**
+ [
## AWS CloudTrail
](#aws-cloudtrail)
+ [
## AWS Config
](#aws-config)
+ [
## Amazon GuardDuty
](#amazon-guardduty)
+ [
## IAM Access Analyzer
](#iam-access-analyzer)
+ [
## Amazon Macie
](#amazon-macie)
## AWS CloudTrail
[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)membantu Anda mengaudit aktivitas API secara keseluruhan di Anda Akun AWS. Mengaktifkan CloudTrail semua Akun AWS penyimpanan, proses, atau pengiriman data pribadi dapat membantu Anda melacak penggunaan dan pengungkapan data ini. Wilayah AWS [Arsitektur Referensi AWS Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#mgmt-cloudtrail) merekomendasikan untuk mengaktifkan jejak organisasi, yang merupakan jejak tunggal yang mencatat semua peristiwa untuk semua akun di organisasi. Namun, mengaktifkan jejak organisasi ini menggabungkan data log Multi-wilayah ke dalam satu bucket Amazon Simple Storage Service (Amazon S3) di akun Arsip Log. Untuk akun yang menangani data pribadi, ini dapat membawa beberapa pertimbangan desain tambahan. Catatan log mungkin berisi beberapa referensi ke data pribadi. Untuk memenuhi persyaratan residensi data dan transfer data, Anda mungkin perlu mempertimbangkan kembali penggabungan data log Lintas wilayah ke dalam satu Wilayah tempat bucket S3 berada. Organisasi Anda mungkin mempertimbangkan beban kerja regional mana yang harus dimasukkan atau dikecualikan dari jejak organisasi. Untuk beban kerja yang Anda putuskan untuk dikecualikan dari jejak organisasi, Anda dapat mempertimbangkan untuk mengonfigurasi jejak khusus Wilayah yang menutupi data pribadi. Untuk informasi selengkapnya tentang menutupi data pribadi, lihat [Amazon Data Firehose](personal-data-account.md#amazon-data-firehose) bagian panduan ini. Pada akhirnya, organisasi Anda mungkin memiliki kombinasi jejak organisasi dan jalur regional yang digabungkan ke dalam akun Arsip Log terpusat.
[Untuk informasi selengkapnya tentang mengonfigurasi jejak wilayah Tunggal, lihat petunjuk penggunaan [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.html#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single) atau konsol.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html#creating-a-trail-in-the-console) Saat membuat jejak organisasi, Anda dapat menggunakan setelan keikutsertaan [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/configure-org-trails.html), atau Anda dapat membuat jejak langsung di [CloudTrail konsol](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-an-organizational-trail-in-the-console.html).
Untuk informasi lebih lanjut tentang pendekatan keseluruhan dan cara mengelola sentralisasi log dan persyaratan transfer data, lihat [Penyimpanan log terpusat](log-archive-account.md#centralized-log-storage) bagian dalam panduan ini. Konfigurasi apa pun yang Anda pilih, Anda mungkin ingin memisahkan manajemen jejak di akun Security Tooling dari penyimpanan log di akun Arsip Log, menurut AWS SRA. Desain ini membantu Anda membuat kebijakan akses hak istimewa paling sedikit bagi mereka yang perlu mengelola log dan mereka yang perlu menggunakan data log.
## AWS Config
[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)memberikan tampilan rinci tentang sumber daya di Anda Akun AWS dan bagaimana mereka dikonfigurasi. Ini membantu Anda mengidentifikasi bagaimana sumber daya berhubungan satu sama lain dan bagaimana konfigurasi mereka telah berubah dari waktu ke waktu. Untuk informasi selengkapnya tentang cara layanan ini digunakan dalam konteks keamanan, lihat [Arsitektur Referensi AWS Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-config).
Di AWS Config, Anda dapat menerapkan [paket kesesuaian](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html), yang merupakan seperangkat AWS Config aturan dan tindakan remediasi. Paket kesesuaian menyediakan kerangka kerja tujuan umum yang dirancang untuk memungkinkan pemeriksaan tata kelola privasi, keamanan, operasional, dan pengoptimalan biaya dengan menggunakan aturan terkelola atau khusus. AWS Config Anda dapat menggunakan alat ini sebagai bagian dari seperangkat alat otomatisasi yang lebih besar untuk melacak apakah konfigurasi AWS sumber daya Anda sesuai dengan persyaratan kerangka kerja kontrol Anda sendiri.
Paket kesesuaian [Praktik Terbaik Operasional untuk Kerangka Privasi NIST v1.0](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-nist_privacy_framework.html) diselaraskan dengan sejumlah kontrol terkait privasi dalam Kerangka Privasi NIST. Setiap AWS Config aturan berlaku untuk jenis AWS sumber daya tertentu, dan ini terkait dengan satu atau lebih kontrol Kerangka Privasi NIST. Anda dapat menggunakan paket kesesuaian ini untuk melacak kepatuhan berkelanjutan terkait privasi di seluruh sumber daya di akun Anda. Berikut ini adalah beberapa aturan yang termasuk dalam paket kesesuaian ini:
+ `no-unrestricted-route-to-igw`— Aturan ini membantu mencegah eksfiltrasi data pada bidang data dengan terus memantau tabel rute VPC untuk rute default `0.0.0.0/0` atau jalan keluar ke `::/0` gateway internet. Ini membantu Anda membatasi di mana lalu lintas internet dapat dikirim, terutama jika ada rentang CIDR yang diketahui berbahaya.
+ `encrypted-volumes`— Aturan ini memeriksa apakah volume Amazon Elastic Block Store (Amazon EBS) yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) dienkripsi. Jika organisasi Anda memiliki persyaratan kontrol khusus yang berkaitan dengan penggunaan kunci AWS Key Management Service (AWS KMS) untuk perlindungan data pribadi, Anda dapat menentukan kunci tertentu IDs sebagai bagian dari aturan untuk memeriksa apakah volume dienkripsi dengan kunci tertentu. AWS KMS
+ `restricted-common-ports`— Aturan ini memeriksa apakah grup keamanan Amazon EC2 mengizinkan lalu lintas TCP yang tidak dibatasi ke port tertentu. Grup keamanan dapat membantu Anda mengelola akses jaringan dengan menyediakan penyaringan stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Memblokir lalu lintas masuk dari `0.0.0.0/0` port umum, seperti TCP 3389 dan TCP 21, pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
AWS Config dapat digunakan untuk pemeriksaan kepatuhan proaktif dan reaktif sumber daya Anda AWS . Selain mempertimbangkan aturan yang ditemukan dalam paket kesesuaian, Anda dapat memasukkan aturan ini dalam mode evaluasi detektif dan proaktif. Ini membantu menerapkan pemeriksaan privasi sebelumnya dalam siklus hidup pengembangan perangkat lunak Anda karena pengembang aplikasi dapat mulai memasukkan pemeriksaan predeployment. Misalnya, mereka dapat menyertakan kait dalam AWS CloudFormation templat mereka yang memeriksa sumber daya yang dideklarasikan dalam templat terhadap semua AWS Config aturan terkait privasi yang mengaktifkan mode proaktif. Untuk informasi selengkapnya, lihat [AWS Config Aturan Sekarang Mendukung Kepatuhan Proaktif](https://aws.amazon.com/blogs/aws/new-aws-config-rules-now-support-proactive-compliance/) (posting AWS blog).
## Amazon GuardDuty
AWS menawarkan beberapa layanan yang mungkin digunakan untuk menyimpan atau memproses data pribadi, seperti Amazon S3, Amazon Relational Database Service (Amazon RDS), atau Amazon EC2 dengan Kubernetes. [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) menggabungkan visibilitas cerdas dengan pemantauan berkelanjutan untuk mendeteksi indikator yang mungkin terkait dengan pengungkapan data pribadi yang tidak diinginkan. Untuk informasi selengkapnya tentang cara layanan ini digunakan dalam konteks keamanan, lihat [Arsitektur Referensi AWS Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-guardduty).
Dengan GuardDuty, Anda dapat mengidentifikasi aktivitas yang berpotensi berbahaya dan terkait privasi di seluruh siklus hidup serangan. Misalnya, GuardDuty dapat mengingatkan Anda tentang koneksi ke situs yang masuk daftar hitam, lalu lintas port jaringan atau volume lalu lintas yang tidak biasa, eksfiltrasi DNS, peluncuran instans EC2 yang tidak terduga, dan penelepon ISP yang tidak biasa. Anda juga dapat mengonfigurasi GuardDuty untuk menghentikan peringatan untuk alamat IP tepercaya dari *daftar IP tepercaya* Anda sendiri dan memberi tahu alamat IP berbahaya yang diketahui dari *daftar ancaman* Anda sendiri.
Seperti yang direkomendasikan dalam AWS SRA, Anda dapat mengaktifkan GuardDuty untuk semua Akun AWS di organisasi Anda dan mengonfigurasi akun Security Tooling sebagai administrator yang GuardDuty didelegasikan. GuardDuty****mengumpulkan temuan dari seluruh organisasi ke dalam akun tunggal ini. Untuk informasi selengkapnya, lihat [Mengelola GuardDuty akun dengan AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html). Anda juga dapat mempertimbangkan untuk mengidentifikasi semua pemangku kepentingan terkait privasi dalam proses respons insiden, mulai dari deteksi dan analisis hingga penahanan dan pemberantasan, dan melibatkan mereka dalam insiden apa pun yang mungkin melibatkan eksfiltrasi data.
## IAM Access Analyzer
Banyak pelanggan menginginkan jaminan terus-menerus bahwa data pribadi dibagikan secara tepat dengan pemroses pihak ketiga yang telah disetujui sebelumnya dan dimaksudkan dan tidak ada entitas lain. [Perimeter data](https://aws.amazon.com/identity/data-perimeters-on-aws/) adalah seperangkat pagar pembatas pencegahan yang dirancang untuk memungkinkan hanya identitas tepercaya dari jaringan yang diharapkan untuk mengakses sumber daya tepercaya di lingkungan Anda. AWS Saat Anda menentukan kontrol untuk pengungkapan data pribadi yang tidak diinginkan dan dimaksudkan, Anda dapat menentukan identitas tepercaya, sumber daya tepercaya, dan jaringan yang diharapkan.
Dengan [AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html), organisasi dapat menentukan Akun AWS zona kepercayaan dan mengonfigurasi peringatan untuk pelanggaran terhadap zona kepercayaan tersebut. IAM Access Analyzer menganalisis kebijakan IAM untuk membantu mengidentifikasi dan menyelesaikan akses publik atau lintas akun yang tidak diinginkan ke sumber daya yang berpotensi sensitif. IAM Access Analyzer menggunakan logika matematika dan inferensi untuk menghasilkan temuan komprehensif untuk sumber daya yang dapat diakses dari luar. Akun AWS Terakhir, untuk menanggapi dan memulihkan kebijakan IAM yang terlalu permisif, Anda dapat menggunakan IAM Access Analyzer untuk memvalidasi kebijakan yang ada terhadap praktik yang direkomendasikan IAM dan memberikan saran. IAM Access Analyzer dapat menghasilkan kebijakan IAM dengan hak istimewa paling sedikit yang didasarkan pada aktivitas akses sebelumnya oleh kepala sekolah IAM. Ini menganalisis CloudTrail log dan menghasilkan kebijakan yang hanya memberikan izin yang diperlukan untuk terus melakukan tugas tersebut.
Untuk informasi selengkapnya tentang cara IAM Access Analyzer digunakan dalam konteks keamanan, lihat Arsitektur [Referensi AWS Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-iam-analyzer).
## Amazon Macie
[Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) adalah layanan yang menggunakan pembelajaran mesin dan pencocokan pola untuk menemukan data sensitif, memberikan visibilitas terhadap risiko keamanan data, dan membantu Anda mengotomatiskan perlindungan terhadap risiko tersebut. Macie menghasilkan temuan saat mendeteksi potensi pelanggaran kebijakan atau masalah dengan keamanan atau privasi bucket Amazon S3 Anda. Macie adalah alat lain yang dapat digunakan organisasi untuk menerapkan otomatisasi guna mendukung upaya kepatuhan. Untuk informasi selengkapnya tentang cara layanan ini digunakan dalam konteks keamanan, lihat [Arsitektur Referensi AWS Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-macie).
Macie dapat mendeteksi daftar tipe data sensitif yang besar dan terus bertambah, termasuk informasi identitas pribadi (PII), seperti nama, alamat, dan atribut lain yang dapat diidentifikasi. Anda bahkan dapat membuat [pengidentifikasi data khusus](https://docs.aws.amazon.com/macie/latest/user/custom-data-identifiers.html) untuk menentukan kriteria deteksi yang mencerminkan definisi data pribadi organisasi Anda.
Saat organisasi Anda menetapkan kontrol pencegahan untuk bucket Amazon S3 Anda yang berisi data pribadi, Anda dapat menggunakan Macie sebagai mekanisme validasi untuk memberikan jaminan berkelanjutan tentang tempat data pribadi Anda berada dan bagaimana data tersebut dilindungi. Untuk memulai, aktifkan Macie dan konfigurasikan [penemuan data sensitif otomatis](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html). Macie terus menganalisis objek di semua bucket S3 Anda, di seluruh akun dan. Wilayah AWS Macie menghasilkan dan memelihara peta panas interaktif yang menggambarkan di mana data pribadi berada. Fitur penemuan data sensitif otomatis dirancang untuk mengurangi biaya dan meminimalkan kebutuhan untuk mengonfigurasi pekerjaan penemuan secara manual. Anda dapat membangun di atas fitur penemuan data sensitif otomatis dan menggunakan Macie untuk secara otomatis mendeteksi bucket baru atau data baru di bucket yang ada dan kemudian memvalidasi data terhadap tag klasifikasi data yang ditetapkan. Konfigurasikan arsitektur ini untuk memberi tahu tim pengembangan dan privasi yang sesuai tentang bucket yang salah diklasifikasikan atau tidak diklasifikasikan secara tepat waktu.
Anda dapat mengaktifkan Macie untuk setiap akun di organisasi Anda dengan menggunakan AWS Organizations. Untuk informasi selengkapnya, lihat [Mengintegrasikan dan mengonfigurasi organisasi di Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-integrate.html).
# Keamanan OU - Akun Arsip Log
**Survei**
Kami akan senang mendengar dari Anda. Harap berikan umpan balik tentang AWS PRA dengan mengikuti [survei singkat](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Akun Log Archive adalah tempat Anda memusatkan infrastruktur, layanan, dan jenis log aplikasi. Untuk informasi selengkapnya tentang akun ini, lihat [Arsitektur Referensi AWS Keamanan (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/log-archive.html). Dengan akun khusus untuk log, Anda dapat menerapkan peringatan yang konsisten di semua jenis log dan untuk mengonfirmasi bahwa responden insiden dapat mengakses agregat log ini dari satu tempat. Anda dapat mengatur kontrol keamanan dan kebijakan penyimpanan data dari satu tempat juga, yang dapat menyederhanakan overhead operasional privasi. Diagram berikut menggambarkan layanan AWS keamanan dan privasi yang dikonfigurasi di akun Arsip Log.
![\[Layanan AWS disebarkan di akun Arsip Log di unit organisasi Keamanan.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Log-Archive.png)
## Penyimpanan log terpusat
File log (seperti AWS CloudTrail log) mungkin berisi informasi yang dapat dianggap sebagai data pribadi. Beberapa organisasi memilih untuk menggunakan jejak organisasi untuk mengumpulkan CloudTrail log di seluruh Wilayah AWS dan di seluruh akun ke dalam satu lokasi pusat, untuk tujuan visibilitas. Untuk informasi selengkapnya, lihat [AWS CloudTrail](security-tooling-account.md#aws-cloudtrail) dalam panduan ini. Saat menerapkan sentralisasi CloudTrail log, log biasanya disimpan dalam bucket Amazon Simple Storage Service (Amazon S3) di satu Wilayah.
Bergantung pada definisi data pribadi organisasi Anda, kewajiban kontraktual Anda kepada pelanggan Anda, dan peraturan privasi regional yang berlaku, Anda mungkin perlu mempertimbangkan transfer data lintas batas dalam hal agregasi log. Tentukan apakah data pribadi dalam berbagai jenis log termasuk dalam batasan ini. Misalnya, CloudTrail log mungkin berisi data karyawan organisasi Anda, tetapi mungkin tidak berisi data pribadi pelanggan Anda. Jika organisasi Anda perlu mematuhi persyaratan transfer data terbatas, opsi berikut dapat membantu mendukung:
+ Jika organisasi Anda menyediakan layanan AWS Cloud untuk subjek data di beberapa negara, Anda dapat memilih untuk menggabungkan semua log di negara yang memiliki persyaratan residensi data paling ketat. Misalnya, jika Anda beroperasi di Jerman dan memiliki persyaratan paling ketat, Anda dapat menggabungkan data dalam bucket S3 agar data yang dikumpulkan `eu-central-1` Wilayah AWS di Jerman tidak meninggalkan perbatasan Jerman. Untuk opsi ini, Anda dapat mengonfigurasi jejak organisasi tunggal di log agregat CloudTrail tersebut dari seluruh akun dan Wilayah AWS ke Wilayah target.
+ Menyunting data pribadi yang perlu disimpan Wilayah AWS sebelum data disalin dan dikumpulkan ke wilayah lain. Misalnya, Anda dapat menutupi data pribadi di Wilayah host aplikasi sebelum Anda mentransfer log ke Wilayah yang berbeda. Untuk informasi selengkapnya tentang menutupi data pribadi, lihat [Amazon Data Firehose](personal-data-account.md#amazon-data-firehose) bagian panduan ini.
+ Jika Anda memiliki masalah kedaulatan data yang ketat, Anda dapat mempertahankan landing zone multi-akun terpisah yang memberlakukan persyaratan ini. Wilayah AWS Dengan cara ini, Anda dapat menyederhanakan konfigurasi landing zone di Region untuk logging terpusat. Ini juga memberikan manfaat segregasi infrastruktur tambahan dan membantu menjaga log lokal ke Wilayah mereka sendiri. Bekerja dengan penasihat hukum Anda untuk menentukan data pribadi mana yang ada dalam cakupan dan Region-to-Region transfer mana yang diizinkan. Untuk informasi selengkapnya, lihat [Strategi untuk ekspansi global](global-expansion.md) dalam panduan ini.
Melalui [log layanan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html), log aplikasi, dan log sistem operasi (OS), Anda dapat menggunakan Amazon CloudWatch untuk memantau Layanan AWS atau sumber daya di akun dan Wilayah yang sesuai secara default. Banyak yang memilih untuk memusatkan log dan metrik ini dari beberapa akun dan Wilayah ke dalam satu akun. Secara default, log ini tetap ada di akun terkait dan Wilayah tempat asalnya. Untuk sentralisasi, Anda dapat menggunakan [filter langganan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html) dan tugas [ekspor Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) untuk berbagi data ke lokasi terpusat. Mungkin penting untuk menyertakan filter yang tepat dan tugas ekspor saat menggabungkan log dari beban kerja yang memiliki persyaratan transfer data lintas batas. Jika log akses beban kerja berisi data pribadi, Anda mungkin perlu memastikan bahwa log tersebut ditransfer atau disimpan di akun dan Wilayah tertentu.
## Amazon Security Lake
Seperti yang direkomendasikan di AWS SRA, Anda mungkin ingin menggunakan akun Arsip Log sebagai akun administrator yang didelegasikan untuk [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html). Saat Anda melakukan ini, Security Lake mengumpulkan log yang didukung di bucket Amazon S3 khusus di akun yang sama dengan log keamanan yang direkomendasikan SRA lainnya.
Dari perspektif privasi, penting bagi responden insiden Anda untuk memiliki akses ke log dari AWS lingkungan Anda, penyedia SaaS, di tempat, sumber cloud, dan sumber pihak ketiga. Ini membantu mereka lebih cepat memblokir dan memulihkan akses tidak sah ke data pribadi. Pertimbangan yang sama untuk penyimpanan log kemungkinan besar berlaku untuk residensi log dan pergerakan Regional dalam Amazon Security Lake. Ini karena Security Lake mengumpulkan log keamanan dan peristiwa dari Wilayah AWS tempat Anda mengaktifkan layanan. Untuk mematuhi persyaratan residensi data, pertimbangkan konfigurasi Wilayah [rollup](https://docs.aws.amazon.com/security-lake/latest/userguide/add-rollup-region.html) Anda.Wilayah *rollup adalah Wilayah* tempat Security Lake mengkonsolidasikan data dari satu atau lebih Wilayah yang berkontribusi, yang Anda pilih. Organisasi Anda mungkin perlu menyelaraskan persyaratan kepatuhan Regional Anda untuk residensi data sebelum Anda dapat mengonfigurasi Security Lake dan rollup Regions.
# Infrastruktur OU - Akun jaringan
**Survei**
Kami akan senang mendengar dari Anda. Harap berikan umpan balik tentang AWS PRA dengan mengikuti [survei singkat](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Di akun Jaringan, Anda mengelola jaringan antara awan pribadi virtual Anda (VPCs) dan internet yang lebih luas. Di akun ini, Anda dapat menerapkan mekanisme kontrol pengungkapan luas dengan menggunakan AWS WAF, use AWS Resource Access Manager (AWS RAM) untuk berbagi subnet AWS Transit Gateway dan lampiran VPC, dan menggunakan CloudFront Amazon untuk mendukung penggunaan layanan yang ditargetkan. Untuk informasi selengkapnya tentang akun ini, lihat [Arsitektur Referensi AWS Keamanan (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html). Diagram berikut menggambarkan layanan AWS keamanan dan privasi yang dikonfigurasi di akun Jaringan.
![\[Layanan AWS dikerahkan di akun Jaringan di unit organisasi Infrastruktur.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Network.png)
**Topics**
+ [
## Amazon CloudFront
](#cloudfront)
+ [
## AWS Resource Access Manager
](#aws-ram-network)
+ [
## AWS Transit Gateway
](#transit-gateway)
+ [
## AWS WAF
](#aws-waf)
## Amazon CloudFront
[Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) mendukung pembatasan geografis untuk aplikasi frontend dan hosting file. CloudFrontdapat mengirimkan konten melalui jaringan pusat data di seluruh dunia yang disebut *lokasi tepi*. Saat pengguna meminta konten yang Anda sajikan CloudFront, permintaan tersebut dirutekan ke lokasi tepi yang memberikan latensi terendah. Untuk informasi selengkapnya tentang cara layanan ini digunakan dalam konteks keamanan, lihat [Arsitektur Referensi AWS Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-cf).
Program privasi Anda saat ini mungkin mendukung kepatuhan terhadap undang-undang regional tertentu. Jika beban kerja Anda dicakup untuk menyediakan layanan hanya kepada pelanggan yang hanya tinggal di wilayah ini, Anda dapat menerapkan langkah-langkah teknis yang mencegah penggunaan dari wilayah lain. Anda dapat menggunakan batasan CloudFront geografis untuk mencegah pengguna di lokasi geografis tertentu mengakses konten yang Anda distribusikan melalui distribusi. CloudFront Untuk informasi selengkapnya dan opsi konfigurasi untuk pembatasan geografis, lihat [Membatasi distribusi geografis konten Anda dalam dokumentasi](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html). CloudFront
Anda juga dapat mengonfigurasi CloudFront untuk menghasilkan log akses yang berisi informasi terperinci tentang setiap permintaan pengguna yang CloudFront diterima. Untuk informasi selengkapnya, lihat [Mengkonfigurasi dan menggunakan log standar (log akses)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html) dalam CloudFront dokumentasi. Terakhir, jika CloudFront dikonfigurasi untuk menyimpan konten di serangkaian lokasi tepi, Anda dapat mempertimbangkan di mana caching terjadi. Untuk beberapa organisasi, caching lintas wilayah mungkin tunduk pada persyaratan transfer data lintas batas.
## AWS Resource Access Manager
[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) membantu Anda berbagi sumber daya dengan aman Akun AWS untuk mengurangi overhead operasional dan memberikan visibilitas dan auditabilitas. Dengan AWS RAM, organisasi dapat membatasi AWS sumber daya mana yang dapat dibagikan dengan orang lain Akun AWS di organisasi mereka atau dengan akun pihak ketiga. Untuk informasi selengkapnya, lihat [AWS Sumber daya yang dapat dibagikan](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html). Di akun Jaringan, Anda dapat menggunakan AWS RAM untuk berbagi subnet VPC dan koneksi gateway transit. Jika Anda menggunakan AWS RAM untuk berbagi koneksi pesawat data dengan yang lain Akun AWS, Anda dapat mempertimbangkan untuk membuat proses untuk memeriksa apakah koneksi dibuat untuk disetujui sebelumnya Wilayah AWS dan mematuhi persyaratan residensi data Anda.
Selain koneksi gateway berbagi VPCs dan transit, AWS RAM dapat digunakan untuk berbagi sumber daya yang tidak mendukung kebijakan berbasis sumber daya IAM. Untuk beban kerja yang dihosting di [Data Pribadi OU](personal-data-account.md), Anda dapat menggunakan AWS RAM untuk mengakses data pribadi yang terletak di tempat terpisah Akun AWS. Untuk informasi selengkapnya, lihat [AWS Resource Access Manager](personal-data-account.md#aws-ram-pd-account) di bagian *Akun Aplikasi OU — PD Data Pribadi*.
## AWS Transit Gateway
Jika Anda ingin menyebarkan AWS sumber daya yang mengumpulkan, menyimpan, atau memproses data pribadi Wilayah AWS yang sesuai dengan persyaratan residensi data organisasi Anda dan Anda memiliki perlindungan teknis yang sesuai, pertimbangkan untuk menerapkan pagar pembatas untuk mencegah aliran data lintas batas yang tidak disetujui pada bidang kontrol dan data. Pada bidang kontrol, Anda dapat membatasi penggunaan Wilayah dan, sebagai hasilnya, aliran data lintas wilayah menggunakan IAM dan kebijakan kontrol layanan.
Ada beberapa opsi untuk mengontrol aliran data lintas wilayah pada bidang data. Misalnya, Anda dapat menggunakan tabel rute, peering VPC, dan lampiran. AWS Transit Gateway [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)adalah hub pusat yang menghubungkan virtual private cloud (VPCs) dan jaringan lokal. Sebagai bagian dari AWS landing zone Anda yang lebih besar, Anda dapat mempertimbangkan berbagai cara data dapat melintasi Wilayah AWS, termasuk melalui gateway internet, melalui pengintipan langsung, dan melalui VPC-to-VPC pengintipan antar wilayah. AWS Transit Gateway Misalnya, Anda dapat melakukan hal berikut di AWS Transit Gateway:
+ Konfirmasikan bahwa koneksi timur-barat dan utara-selatan antara lingkungan Anda VPCs dan lokal selaras dengan persyaratan privasi Anda.
+ Konfigurasikan pengaturan VPC sesuai dengan persyaratan privasi Anda.
+ Gunakan kebijakan kontrol layanan dalam AWS Organizations dan kebijakan IAM untuk membantu mencegah modifikasi pada konfigurasi Amazon Virtual Private Cloud (Amazon VPC) Anda AWS Transit Gateway dan Amazon. Untuk contoh kebijakan kontrol layanan, lihat [Batasi perubahan pada konfigurasi VPC](restrict-changes-vpc-configurations.md) di panduan ini.
## AWS WAF
Untuk membantu mencegah pengungkapan data pribadi yang tidak diinginkan, Anda dapat menerapkan defense-in-depth pendekatan untuk aplikasi web Anda. Anda dapat membangun validasi input dan pembatasan tarif ke dalam aplikasi Anda, tetapi AWS WAF dapat berfungsi sebagai garis pertahanan lain. [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)adalah firewall aplikasi web yang membantu Anda memantau permintaan HTTP dan HTTPS yang diteruskan ke sumber daya aplikasi web Anda yang dilindungi. Untuk informasi selengkapnya tentang cara layanan ini digunakan dalam konteks keamanan, lihat [Arsitektur Referensi AWS Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-waf).
Dengan AWS WAF, Anda dapat menentukan dan menerapkan aturan yang memeriksa kriteria tertentu. Kegiatan berikut mungkin terkait dengan pengungkapan data pribadi yang tidak diinginkan:
+ Lalu lintas dari alamat IP atau lokasi geografis yang tidak dikenal atau berbahaya
+ Open Worldwide Application Security Project (OWASP) [10 serangan teratas, termasuk serangan](https://owasp.org/www-project-top-ten/) terkait eksfiltrasi seperti injeksi SQL
+ Tingkat permintaan yang tinggi
+ Lalu lintas bot umum
+ Pengikis konten
Anda dapat menerapkan [grup AWS WAF aturan](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-groups.html) yang dikelola oleh AWS. Beberapa grup aturan terkelola untuk AWS WAF dapat digunakan untuk mendeteksi ancaman terhadap privasi dan data pribadi, misalnya:
+ [Database SQL](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html#aws-managed-rule-groups-use-case-sql-db) — Grup aturan ini berisi aturan yang dirancang untuk memblokir pola permintaan yang terkait dengan eksploitasi database SQL, seperti serangan injeksi SQL. Pertimbangkan grup aturan ini jika aplikasi Anda berinteraksi dengan database SQL.
+ [Masukan buruk yang diketahui](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-known-bad-inputs) - Grup aturan ini berisi aturan yang dirancang untuk memblokir pola permintaan yang diketahui tidak valid dan terkait dengan eksploitasi atau penemuan kerentanan.
+ [Kontrol Bot](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) — Grup aturan ini berisi aturan yang dirancang untuk mengelola permintaan dari bot, yang dapat mengkonsumsi sumber daya berlebih, mengubah metrik bisnis, menyebabkan downtime, dan melakukan aktivitas berbahaya.
+ [Pencegahan pengambilalihan akun (ATP)](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-atp.html) - Grup aturan ini berisi aturan yang dirancang untuk mencegah upaya pengambilalihan akun berbahaya. Grup aturan ini memeriksa upaya login yang dikirim ke titik akhir login aplikasi Anda.
# Data Pribadi OU - Akun Aplikasi PD
**Survei**
Kami akan senang mendengar dari Anda. Harap berikan umpan balik tentang AWS PRA dengan mengikuti [survei singkat](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Akun Aplikasi Data Pribadi (PD) adalah tempat organisasi Anda menyelenggarakan layanan yang mengumpulkan dan memproses data pribadi. Secara khusus, Anda dapat menyimpan apa yang Anda definisikan sebagai data pribadi di akun ini. AWS PRA menunjukkan sejumlah contoh konfigurasi privasi melalui arsitektur web tanpa server multi-tier. Ketika menyangkut beban kerja pengoperasian di seluruh AWS landing zone, konfigurasi privasi tidak boleh dianggap sebagai one-size-fits-all solusi. Misalnya, tujuan Anda mungkin untuk memahami konsep yang mendasarinya, bagaimana mereka dapat meningkatkan privasi, dan bagaimana organisasi Anda dapat menerapkan solusi untuk kasus penggunaan dan arsitektur khusus Anda.
Karena Akun AWS di organisasi Anda yang mengumpulkan, menyimpan, atau memproses data pribadi, Anda dapat menggunakan AWS Organizations dan AWS Control Tower menerapkan pagar pembatas dasar dan berulang. Menetapkan unit organisasi khusus (OU) untuk akun ini sangat penting. Misalnya, Anda mungkin ingin menerapkan pagar pembatas residensi data hanya pada sebagian akun di mana residensi data merupakan pertimbangan desain inti. Bagi banyak organisasi, ini adalah akun yang menyimpan dan memproses data pribadi.
Organisasi Anda mungkin mempertimbangkan untuk mendukung akun Data khusus, yang merupakan tempat Anda menyimpan sumber otoritatif kumpulan data pribadi Anda. Sumber data otoritatif adalah lokasi tempat Anda menyimpan versi data utama, yang mungkin dianggap sebagai versi data yang paling andal dan akurat. Misalnya, Anda dapat menyalin data dari sumber data otoritatif ke lokasi lain, seperti bucket Amazon Simple Storage Service (Amazon S3) di akun Aplikasi PD yang digunakan untuk menyimpan data pelatihan, subset data pelanggan, dan data yang disunting. Dengan mengambil pendekatan multi-akun ini untuk memisahkan kumpulan data pribadi yang lengkap dan definitif di akun Data dari beban kerja konsumen hilir di akun Aplikasi PD, Anda dapat mengurangi cakupan dampak jika terjadi akses tidak sah ke akun Anda.
Diagram berikut menggambarkan layanan AWS keamanan dan privasi yang dikonfigurasi dalam akun Aplikasi dan Data PD.
![\[Layanan AWS dikerahkan dalam Aplikasi Data Pribadi dan akun Data di Data Pribadi OU.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-PD-Application.png)
**Topics**
+ [
## Amazon Athena
](#athena)
+ [
## Amazon Bedrock
](#bedrock)
+ [
## AWS Clean Rooms
](#clean-rooms)
+ [
## CloudWatch Log Amazon
](#cloudwatch-logs)
+ [
## CodeGuru Peninjau Amazon
](#codeguru-reviewer)
+ [
## Amazon Comprehend
](#comprehend)
+ [
## Amazon Data Firehose
](#amazon-data-firehose)
+ [
## Amazon DataZone
](#datazone)
+ [
## AWS Glue
](#aws-glue)
+ [
## AWS Key Management Service
](#aws-kms)
+ [
## AWS Lake Formation
](#lake-formation)
+ [
## AWS Local Zones
](#aws-local-zones)
+ [
## AWS Enklaf Nitro
](#nitro-enclaves)
+ [
## AWS PrivateLink
](#privatelink)
+ [
## AWS Resource Access Manager
](#aws-ram-pd-account)
+ [
## Amazon SageMaker AI
](#sagemaker)
+ [
## AWS fitur yang membantu mengelola siklus hidup data
](#manage-data-lifecycle)
+ [
## Layanan AWS dan fitur yang membantu mengelompokkan data
](#segment-data)
+ [
## Layanan AWS dan fitur yang membantu menemukan, mengklasifikasikan, atau membuat katalog data
](#discovery-classification)
## Amazon Athena
Anda dapat mempertimbangkan kontrol pembatasan kueri data untuk memenuhi tujuan privasi Anda. [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) adalah layanan kueri interaktif yang membantu Anda menganalisis data secara langsung di Amazon S3 dengan menggunakan SQL standar. Anda tidak perlu memuat data ke Athena; ini bekerja langsung dengan data yang disimpan dalam ember S3.
Kasus penggunaan umum untuk Athena adalah menyediakan kumpulan data yang disesuaikan dan disanitasi kepada tim analitik data. Jika kumpulan data berisi data pribadi, Anda dapat membersihkan kumpulan data dengan menutupi seluruh kolom data pribadi yang memberikan sedikit nilai bagi tim analitik data. Untuk informasi selengkapnya, lihat [Menganonimkan dan mengelola data di danau data Anda dengan Amazon Athena dan AWS Lake Formation](https://aws.amazon.com/blogs/big-data/anonymize-and-manage-data-in-your-data-lake-with-amazon-athena-and-aws-lake-formation/) (posting blog).AWS
Jika pendekatan transformasi data Anda memerlukan fleksibilitas tambahan di luar [fungsi yang didukung di Athena](https://docs.aws.amazon.com/athena/latest/ug/functions.html), Anda dapat menentukan fungsi kustom, yang disebut fungsi yang [ditentukan pengguna](https://docs.aws.amazon.com/athena/latest/ug/querying-udf.html) (UDF). Anda dapat memanggil UDFs dalam kueri SQL yang dikirimkan ke Athena, dan mereka berjalan. AWS Lambda Anda dapat menggunakan UDFs dalam `SELECT` dan `FILTER SQL` kueri, dan Anda dapat memanggil beberapa UDFs dalam kueri yang sama. Untuk privasi, Anda dapat membuat UDFs yang melakukan jenis penyembunyian data tertentu, seperti hanya menampilkan empat karakter terakhir dari setiap nilai dalam kolom.
## Amazon Bedrock
[Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html) adalah layanan yang dikelola sepenuhnya yang menyediakan akses ke model foundation dari perusahaan AI terkemuka seperti AI21 Labs, Anthropic, Meta, Mistral AI, dan Amazon. Ini membantu organisasi untuk membangun dan menskalakan aplikasi AI generatif. Apa pun platform yang digunakan, saat menggunakan AI generatif, organisasi dapat menghadapi risiko privasi, termasuk potensi paparan data pribadi, akses data yang tidak sah, dan pelanggaran kepatuhan lainnya.
[Amazon Bedrock Guardrails](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails.html) dirancang untuk membantu mengurangi risiko ini dengan menerapkan praktik terbaik keamanan dan kepatuhan di seluruh beban kerja AI generatif Anda di Amazon Bedrock. Penyebaran dan penggunaan sumber daya AI mungkin tidak selalu selaras dengan persyaratan privasi dan kepatuhan organisasi. Organizations dapat berjuang dengan menjaga privasi data saat menggunakan model AI generatif karena model ini berpotensi menghafal atau mereproduksi informasi sensitif. Amazon Bedrock Guardrails membantu melindungi privasi dengan mengevaluasi input pengguna dan respons model. Secara keseluruhan, jika data input berisi data pribadi, mungkin ada risiko informasi ini terpapar dalam output model.
Amazon Bedrock Guardrails menyediakan mekanisme untuk menegakkan kebijakan perlindungan data dan membantu mencegah paparan data yang tidak sah. Ini menawarkan [kemampuan penyaringan konten](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-sensitive-filters.html) untuk mendeteksi dan memblokir data pribadi dalam input, [pembatasan topik](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-denied-topics.html) untuk membantu mencegah akses ke materi pelajaran yang tidak pantas atau berisiko, dan [filter kata](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-word-filters.html) untuk menutupi atau menyunting istilah sensitif dalam permintaan dan tanggapan model. Kemampuan ini membantu mencegah peristiwa yang dapat menyebabkan pelanggaran privasi, seperti tanggapan bias, atau erosi kepercayaan pelanggan. Fitur-fitur ini dapat membantu Anda memastikan bahwa data pribadi tidak diproses atau diungkapkan secara tidak sengaja oleh model AI Anda. Amazon Bedrock Guardrails mendukung evaluasi input dan tanggapan di luar Amazon Bedrock juga. Untuk informasi selengkapnya, lihat [Menerapkan langkah-langkah keamanan independen model dengan Amazon Bedrock Guardrails](https://aws.amazon.com/blogs/machine-learning/implement-model-independent-safety-measures-with-amazon-bedrock-guardrails/) (posting blog).AWS
Dengan Amazon Bedrock Guardrails, Anda dapat membatasi risiko halusinasi model dengan menggunakan [pemeriksaan pentanahan kontekstual, yang mengevaluasi landasan faktual](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-contextual-grounding-check.html) dan relevansi respons. Contohnya adalah menerapkan aplikasi generatif AI yang menghadap pelanggan yang menggunakan sumber data pihak ketiga dalam aplikasi [Retrieval Augmented](https://aws.amazon.com/what-is/retrieval-augmented-generation/) Generation (RAG). Pemeriksaan grounding kontekstual dapat digunakan untuk memvalidasi respons model terhadap sumber data ini dan menyaring tanggapan yang tidak akurat. Dalam konteks AWS PRA, Anda dapat menerapkan Amazon Bedrock Guardrails di seluruh akun beban kerja, yang memberlakukan pagar pembatas privasi tertentu yang disesuaikan dengan setiap persyaratan beban kerja.
## AWS Clean Rooms
Ketika organisasi mencari cara untuk berkolaborasi satu sama lain melalui analisis kumpulan data sensitif yang berpotongan atau tumpang tindih, menjaga keamanan dan privasi data bersama itu menjadi perhatian. [AWS Clean Rooms](https://docs.aws.amazon.com/clean-rooms/latest/userguide/what-is.html)membantu Anda menyebarkan *ruang bersih data*, yang merupakan lingkungan yang aman dan netral tempat organisasi dapat menganalisis kumpulan data gabungan tanpa membagikan data mentah itu sendiri. Ini juga dapat menghasilkan wawasan unik dengan menyediakan akses ke organisasi lain AWS tanpa memindahkan atau menyalin data dari akun mereka sendiri dan tanpa mengungkapkan kumpulan data yang mendasarinya. Semua data tetap berada di lokasi sumber. Aturan analisis bawaan membatasi output dan membatasi kueri SQL. Semua kueri dicatat, dan anggota kolaborasi dapat melihat bagaimana data mereka ditanyakan.
Anda dapat membuat AWS Clean Rooms kolaborasi dan mengundang AWS pelanggan lain untuk menjadi anggota kolaborasi itu. Anda memberikan satu anggota kemampuan untuk menanyakan kumpulan data anggota, dan Anda dapat memilih anggota tambahan untuk menerima hasil kueri tersebut. Jika lebih dari satu anggota perlu menanyakan kumpulan data, Anda dapat membuat kolaborasi tambahan dengan sumber data yang sama dan pengaturan anggota yang berbeda. Setiap anggota dapat memfilter data yang dibagikan dengan anggota kolaborasi, dan Anda dapat menggunakan aturan analisis khusus untuk menetapkan batasan tentang bagaimana data yang mereka berikan kepada kolaborasi dapat dianalisis.
Selain membatasi data yang disajikan untuk kolaborasi dan bagaimana hal itu dapat digunakan oleh anggota lain, AWS Clean Rooms menyediakan kemampuan berikut yang dapat membantu Anda melindungi privasi:
+ *Privasi diferensial* adalah teknik matematika yang meningkatkan privasi pengguna dengan menambahkan jumlah noise yang dikalibrasi dengan hati-hati ke data. Ini membantu mengurangi risiko identifikasi ulang pengguna individu dalam kumpulan data tanpa mengaburkan nilai-nilai yang diminati. Menggunakan [Privasi AWS Clean Rooms Diferensial](https://docs.aws.amazon.com/clean-rooms/latest/userguide/differential-privacy.html) tidak memerlukan keahlian privasi diferensial.
+ [AWS Clean Rooms ML](https://docs.aws.amazon.com/clean-rooms/latest/userguide/machine-learning.html) memungkinkan dua atau lebih pihak untuk mengidentifikasi pengguna serupa dalam data mereka tanpa langsung berbagi data satu sama lain. Ini mengurangi risiko serangan inferensi keanggotaan, di mana anggota kolaborasi dapat mengidentifikasi individu dalam kumpulan data anggota lain. Dengan membuat model yang mirip dan menghasilkan segmen yang mirip, AWS Clean Rooms ML membantu Anda membandingkan kumpulan data tanpa mengekspos data asli. Ini tidak mengharuskan salah satu anggota untuk memiliki keahlian ML atau melakukan pekerjaan apa pun di luar AWS Clean Rooms. Anda mempertahankan kendali penuh dan kepemilikan model terlatih.
+ [Cryptographic Computing for Clean Rooms (C3R)](https://docs.aws.amazon.com/clean-rooms/latest/userguide/crypto-computing.html) dapat digunakan dengan aturan analisis untuk memperoleh wawasan dari data sensitif. Ini secara kriptografis membatasi apa yang dapat dipelajari oleh pihak lain untuk kolaborasi. Dengan menggunakan klien enkripsi C3R, data dienkripsi di klien sebelum diberikan. AWS Clean Rooms Karena tabel data dienkripsi menggunakan alat enkripsi sisi klien sebelum diunggah ke Amazon S3, data tetap dienkripsi dan bertahan melalui pemrosesan.
Di AWS PRA, kami menyarankan Anda membuat AWS Clean Rooms kolaborasi di akun Data. Anda dapat menggunakannya untuk berbagi data pelanggan terenkripsi dengan pihak ketiga. Gunakan hanya jika ada tumpang tindih dalam kumpulan data yang disediakan. Untuk informasi selengkapnya tentang cara menentukan tumpang tindih, lihat [Aturan analisis daftar](https://docs.aws.amazon.com/clean-rooms/latest/userguide/analysis-rules-list.html) dalam AWS Clean Rooms dokumentasi.
## CloudWatch Log Amazon
[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) membantu Anda memusatkan log dari semua sistem, aplikasi, Layanan AWS sehingga Anda dapat memantau dan mengarsipkannya dengan aman. Di CloudWatch Log, Anda dapat menggunakan [kebijakan perlindungan data](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-data-protection-policies.html) untuk grup log baru atau yang sudah ada untuk membantu meminimalkan risiko pengungkapan data pribadi. Kebijakan perlindungan data dapat mendeteksi data sensitif, seperti data pribadi, di log Anda. Kebijakan perlindungan data dapat menutupi data tersebut ketika pengguna mengakses log melalui file Konsol Manajemen AWS. Ketika pengguna memerlukan akses langsung ke data pribadi, sesuai dengan spesifikasi tujuan keseluruhan untuk beban kerja Anda, Anda dapat menetapkan `logs:Unmask` izin untuk pengguna tersebut. Anda juga dapat membuat kebijakan perlindungan data di seluruh akun dan menerapkan kebijakan ini secara konsisten di semua akun di organisasi Anda. Ini mengonfigurasi masking secara default untuk semua grup log saat ini dan masa depan di CloudWatch Log. Kami juga menyarankan Anda mengaktifkan laporan audit dan mengirimkannya ke grup log lain, bucket Amazon S3, atau Amazon Data Firehose. Laporan ini berisi catatan rinci temuan perlindungan data di setiap grup log.
## CodeGuru Peninjau Amazon
Untuk privasi dan keamanan, sangat penting bagi banyak organisasi bahwa mereka mendukung kepatuhan berkelanjutan selama fase penerapan dan pasca-penyebaran. AWS PRA mencakup kontrol proaktif dalam pipeline penyebaran untuk aplikasi yang memproses data pribadi. [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) dapat mendeteksi potensi cacat yang mungkin mengekspos data pribadi di Jawa, JavaScript, dan kode Python. Ini menawarkan saran kepada pengembang untuk meningkatkan kode. CodeGuru Peninjau dapat mengidentifikasi cacat di berbagai keamanan, privasi, dan praktik umum yang direkomendasikan. Ini dirancang untuk bekerja dengan beberapa penyedia sumber, termasuk, Bitbucket AWS CodeCommit, GitHub, dan Amazon S3. Beberapa cacat terkait privasi yang dapat dideteksi oleh CodeGuru Reviewer meliputi:
+ Injeksi SQL
+ Cookie tanpa jaminan
+ Otorisasi hilang
+ Enkripsi ulang sisi klien AWS KMS
Untuk daftar lengkap apa yang dapat dideteksi oleh CodeGuru Reviewer, lihat [Amazon CodeGuru Detector Library](https://docs.aws.amazon.com/codeguru/detector-library/).
## Amazon Comprehend
[Amazon Comprehend](https://docs.aws.amazon.com/comprehend/latest/dg/what-is.html) adalah layanan pemrosesan bahasa alami (NLP) yang menggunakan pembelajaran mesin untuk mengungkap wawasan dan koneksi berharga dalam dokumen teks bahasa Inggris. Amazon Comprehend dapat mendeteksi dan menyunting data pribadi dalam dokumen teks terstruktur, semi-terstruktur, atau tidak terstruktur. Untuk informasi selengkapnya, lihat [Informasi identitas pribadi (PII)](https://docs.aws.amazon.com/comprehend/latest/dg/pii.html) di dokumentasi Amazon Comprehend.
Karena Amazon Comprehend memiliki banyak opsi untuk AWS SDKs integrasi aplikasi, Anda dapat menggunakan Amazon Comprehend untuk mengidentifikasi data pribadi di berbagai tempat di mana Anda mengumpulkan, menyimpan, dan memproses data. Anda dapat menggunakan kemampuan Amazon Comprehend MLuntuk mendeteksi dan menyunting [data pribadi di](https://aws.amazon.com/blogs/machine-learning/redacting-pii-from-application-log-output-with-amazon-comprehend/)AWS log aplikasi (posting blog), email pelanggan, tiket dukungan, dan banyak lagi. Diagram arsitektur untuk akun Aplikasi PD menunjukkan bagaimana Anda dapat melakukan fungsi ini untuk log aplikasi di Amazon EC2. Amazon Comprehend menawarkan dua mode redaksi:
+ `REPLACE_WITH_PII_ENTITY_TYPE`menggantikan setiap entitas PII dengan tipenya. **Misalnya, **Jane Doe** akan diganti dengan NAME.**
+ `MASK`menggantikan karakter dalam entitas PII dengan karakter pilihan Anda (\$1 , \$1, \$1,%, &,*, atau @). Misalnya,* ***Jane Doe*** *dapat diganti dengan* **\$1\$1\$1\$1 \$1\$1\$1**.
## Amazon Data Firehose
[Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) dapat digunakan untuk menangkap, mengubah, dan memuat data streaming ke layanan hilir, seperti Amazon Managed Service untuk Apache Flink atau Amazon S3. Firehose sering digunakan untuk mengangkut data streaming dalam jumlah besar, seperti log aplikasi, tanpa harus membangun pipa pemrosesan dari bawah ke atas.
Anda dapat menggunakan fungsi Lambda untuk melakukan pemrosesan khusus atau bawaan sebelum data dikirim ke hilir. Untuk privasi, kemampuan ini mendukung minimalisasi data dan persyaratan transfer data lintas batas. Misalnya, Anda dapat menggunakan Lambda dan Firehose untuk mengubah data log Multi-wilayah sebelum terpusat di akun Arsip Log. Untuk informasi selengkapnya, lihat [Biogen: Solusi Pencatatan Terpusat untuk Multi Akun](https://www.youtube.com/watch?v=m8xtR3-ZQs8) (YouTube video). Di akun Aplikasi PD, Anda mengonfigurasi Amazon CloudWatch dan AWS CloudTrail mendorong log ke aliran pengiriman Firehose. Fungsi Lambda mengubah log dan mengirimkannya ke bucket S3 pusat di akun Arsip Log. Anda dapat mengonfigurasi fungsi Lambda untuk menutupi bidang tertentu yang berisi data pribadi. Ini membantu mencegah transfer data pribadi Wilayah AWS. Dengan menggunakan pendekatan ini, data pribadi disembunyikan sebelum transfer dan sentralisasi, bukan setelahnya. Untuk aplikasi di yurisdiksi yang tidak tunduk pada persyaratan transfer lintas batas, biasanya lebih efisien secara operasional dan hemat biaya untuk mengumpulkan log melalui jejak organisasi di. CloudTrail Untuk informasi selengkapnya, lihat [AWS CloudTrail](security-tooling-account.md#aws-cloudtrail) di bagian *Security OU — Security Tooling account* dari panduan ini.
## Amazon DataZone
Ketika organisasi menskalakan pendekatan mereka untuk berbagi data melalui Layanan AWS seperti itu AWS Lake Formation, mereka ingin memastikan bahwa akses diferensial dikendalikan oleh mereka yang paling akrab dengan data: pemilik data. Namun, pemilik data ini mungkin mengetahui persyaratan privasi, seperti persetujuan atau pertimbangan transfer data lintas batas. [Amazon DataZone](https://docs.aws.amazon.com/datazone/latest/userguide/what-is-datazone.html) membantu pemilik data dan tim tata kelola data berbagi dan mengkonsumsi data di seluruh organisasi sesuai dengan kebijakan tata kelola data Anda. Di Amazon DataZone, lini bisnis (LOBs) mengelola data mereka sendiri, dan katalog melacak kepemilikan ini. Pihak yang tertarik dapat menemukan dan meminta akses ke data sebagai bagian dari tugas bisnis mereka. Selama mematuhi kebijakan yang ditetapkan oleh penerbit data, pemilik data dapat memberikan akses ke tabel yang mendasarinya, tanpa administrator atau memindahkan data.
Dalam konteks privasi, Amazon DataZone dapat membantu dalam contoh kasus penggunaan berikut:
+ Aplikasi yang dihadapi pelanggan menghasilkan data penggunaan yang dapat dibagikan dengan LOB pemasaran terpisah. Anda perlu memastikan bahwa hanya data untuk pelanggan yang telah memilih untuk pemasaran yang dipublikasikan ke katalog.
+ Data pelanggan Eropa dipublikasikan tetapi hanya dapat berlangganan oleh LOBs lokal ke Wilayah Ekonomi Eropa (EEA). Untuk informasi selengkapnya, lihat [Meningkatkan keamanan data dengan kontrol akses berbutir halus di Amazon](https://aws.amazon.com/blogs/big-data/enhance-data-security-with-fine-grained-access-controls-in-amazon-datazone/). DataZone
Di AWS PRA, Anda dapat menghubungkan data di bucket Amazon S3 bersama ke DataZone Amazon sebagai produsen data.
## AWS Glue
Mempertahankan kumpulan data yang berisi data pribadi adalah komponen kunci dari Privacy by Design. Data organisasi mungkin ada dalam bentuk terstruktur, semi-terstruktur, atau tidak terstruktur. Kumpulan data pribadi tanpa struktur dapat menyulitkan untuk melakukan sejumlah operasi peningkatan privasi, termasuk meminimalkan data, melacak data yang dikaitkan dengan subjek data tunggal sebagai bagian dari permintaan subjek data, memastikan kualitas data yang konsisten, dan segmentasi kumpulan data secara keseluruhan. [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html)adalah layanan ekstrak, transformasi, dan beban (ETL) yang dikelola sepenuhnya. Ini dapat membantu Anda mengkategorikan, membersihkan, memperkaya, dan memindahkan data antara penyimpanan data dan aliran data. AWS Glue fitur dirancang untuk membantu Anda menemukan, menyiapkan, menyusun, dan menggabungkan kumpulan data untuk analitik, pembelajaran mesin, dan pengembangan aplikasi. Anda dapat menggunakan AWS Glue untuk membuat struktur yang dapat diprediksi dan umum di atas kumpulan data yang ada. AWS Glue Data Catalog, AWS Glue DataBrew, dan Kualitas AWS Glue Data adalah AWS Glue fitur yang dapat membantu mendukung persyaratan privasi organisasi Anda.
### AWS Glue Data Catalog
[AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/catalog-and-crawler.html)membantu Anda membuat kumpulan data yang dapat dipelihara. Katalog Data berisi referensi ke data yang digunakan sebagai sumber dan target untuk mengekstrak, mengubah, dan memuat (ETL) pekerjaan di AWS Glue. Informasi dalam Katalog Data disimpan sebagai tabel metadata, dan setiap tabel menentukan penyimpanan data tunggal. Anda menjalankan AWS Glue crawler untuk mengambil inventaris data dalam berbagai jenis penyimpanan data. Anda menambahkan [pengklasifikasi bawaan dan kustom](https://docs.aws.amazon.com/glue/latest/dg/add-classifier.html) ke crawler, dan pengklasifikasi ini menyimpulkan format data dan skema data pribadi. Crawler kemudian menulis metadata ke Katalog Data. Tabel metadata terpusat dapat memudahkan untuk menanggapi permintaan subjek data (seperti hak untuk menghapus) karena menambahkan struktur dan prediktabilitas di berbagai sumber data pribadi di lingkungan Anda. AWS Untuk contoh komprehensif tentang cara menggunakan Katalog Data untuk merespons permintaan ini secara otomatis, lihat [Menangani permintaan penghapusan data di data lake Anda dengan Amazon S3 Find and](https://aws.amazon.com/blogs/big-data/handling-data-erasure-requests-in-your-data-lake-with-amazon-s3-find-and-forget/) Forget AWS (posting blog). Terakhir, jika organisasi Anda menggunakan [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html)untuk mengelola dan menyediakan akses berbutir halus di seluruh database, tabel, baris, dan sel, Katalog Data adalah komponen kunci. Data Catalog menyediakan berbagi data lintas akun dan membantu Anda [menggunakan kontrol akses berbasis tag untuk mengelola data lake Anda dalam skala besar](https://aws.amazon.com/blogs/big-data/easily-manage-your-data-lake-at-scale-using-tag-based-access-control-in-aws-lake-formation/) (posting AWS blog). Untuk informasi lebih lanjut, lihat [AWS Lake Formation](#lake-formation) di bagian ini.
### AWS Glue DataBrew
[AWS Glue DataBrew](https://docs.aws.amazon.com/databrew/latest/dg/what-is.html)membantu Anda membersihkan dan menormalkan data, dan dapat melakukan transformasi pada data, seperti menghapus atau menutupi informasi yang dapat diidentifikasi secara pribadi dan mengenkripsi bidang data sensitif dalam jaringan data. Anda juga dapat memetakan garis keturunan data Anda secara visual untuk memahami berbagai sumber data dan langkah-langkah transformasi yang telah dilalui data. Fitur ini menjadi semakin penting karena organisasi Anda bekerja untuk lebih memahami dan melacak asal data pribadi. DataBrew membantu Anda menutupi data pribadi selama persiapan data. Anda dapat mendeteksi data pribadi sebagai bagian dari pekerjaan pembuatan profil data dan mengumpulkan statistik, seperti jumlah kolom yang mungkin berisi data pribadi dan kategori potensial. Anda kemudian dapat menggunakan teknik transformasi data reversibel atau ireversibel bawaan, termasuk substitusi, hashing, enkripsi, dan dekripsi, semuanya tanpa menulis kode apa pun. Anda kemudian dapat menggunakan kumpulan data yang dibersihkan dan disamarkan di hilir untuk tugas analitik, pelaporan, dan pembelajaran mesin. Beberapa teknik masking data yang tersedia di DataBrew antaranya:
+ **Hashing** - Terapkan fungsi hash ke nilai kolom.
+ **Substitusi** — Ganti data pribadi dengan nilai lain yang tampak otentik.
+ **Nulling out atau penghapusan** - Ganti bidang tertentu dengan nilai null, atau hapus kolom.
+ **Masking out** — Gunakan karakter scrambling, atau menutupi bagian-bagian tertentu dalam kolom.
Berikut ini adalah teknik enkripsi yang tersedia:
+ **Enkripsi deterministik** — Menerapkan algoritma enkripsi deterministik ke nilai kolom. Enkripsi deterministik selalu menghasilkan ciphertext yang sama untuk suatu nilai.
+ **Enkripsi probabilistik** — Menerapkan algoritma enkripsi probabilistik ke nilai kolom. Enkripsi probabilistik menghasilkan ciphertext yang berbeda setiap kali diterapkan.
Untuk daftar lengkap resep transformasi data pribadi yang disediakan DataBrew, lihat langkah-langkah resep [Informasi Identifikasi Pribadi (PII)](https://docs.aws.amazon.com/databrew/latest/dg/recipe-actions.pii.html).
### AWS Glue Kualitas Data
[AWS Glue Kualitas Data](https://docs.aws.amazon.com/glue/latest/dg/glue-data-quality.html) membantu Anda mengotomatiskan dan mengoperasionalkan pengiriman data berkualitas tinggi di seluruh jalur data, secara proaktif, sebelum dikirimkan ke konsumen data Anda. AWS Glue Kualitas Data menyediakan analisis statistik masalah kualitas data di seluruh jalur data Anda, dapat [memicu peringatan di Amazon EventBridge](https://docs.aws.amazon.com/glue/latest/dg/data-quality-alerts.html), dan dapat membuat rekomendasi aturan kualitas untuk perbaikan. AWS Glue Kualitas Data juga mendukung pembuatan aturan dengan [bahasa khusus domain](https://docs.aws.amazon.com/glue/latest/dg/dqdl.html) sehingga Anda dapat membuat aturan kualitas data khusus.
## AWS Key Management Service
[AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) membantu Anda membuat dan mengontrol kunci kriptografi untuk membantu melindungi data Anda. AWS KMS menggunakan modul keamanan perangkat keras untuk melindungi dan memvalidasi AWS KMS keys di bawah Program Validasi Modul Kriptografi FIPS 140-2. Untuk informasi selengkapnya tentang cara layanan ini digunakan dalam konteks keamanan, lihat [Arsitektur Referensi AWS Keamanan](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-kms).
AWS KMS terintegrasi dengan sebagian besar Layanan AWS yang menawarkan enkripsi, dan Anda dapat menggunakan kunci KMS dalam aplikasi Anda yang memproses dan menyimpan data pribadi. Anda dapat menggunakan AWS KMS untuk membantu mendukung berbagai persyaratan privasi Anda dan melindungi data pribadi, termasuk:
+ Menggunakan [kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk kontrol yang lebih besar atas kekuatan, rotasi, kedaluwarsa, dan opsi lainnya.
+ Menggunakan kunci terkelola pelanggan khusus untuk melindungi data pribadi dan rahasia yang memungkinkan akses ke data pribadi.
+ Mendefinisikan tingkat klasifikasi data dan menunjuk setidaknya satu kunci yang dikelola pelanggan khusus per level. Misalnya, Anda mungkin memiliki satu kunci untuk mengenkripsi data operasional dan yang lain untuk mengenkripsi data pribadi.
+ Mencegah akses lintas akun yang tidak diinginkan ke kunci KMS.
+ Menyimpan kunci KMS dalam Akun AWS sama dengan sumber daya yang akan dienkripsi.
+ Menerapkan pemisahan tugas untuk administrasi dan penggunaan kunci KMS. Untuk informasi selengkapnya, lihat [Cara menggunakan KMS dan IAM untuk mengaktifkan kontrol keamanan independen untuk data terenkripsi di S3](https://aws.amazon.com/blogs/security/how-to-use-kms-and-iam-to-enable-independent-security-controls-for-encrypted-data-in-s3/) (posting blog).AWS
+ Menegakkan rotasi kunci otomatis melalui pagar pembatas preventif dan reaktif.
Secara default, kunci KMS disimpan dan hanya dapat digunakan di Wilayah tempat mereka dibuat. Jika organisasi Anda memiliki persyaratan khusus untuk residensi dan kedaulatan data, pertimbangkan apakah [kunci KMS Multi-wilayah](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) sesuai untuk kasus penggunaan Anda. Tombol Multi-Region adalah kunci KMS tujuan khusus yang berbeda Wilayah AWS yang dapat digunakan secara bergantian. Proses pembuatan kunci Multi-wilayah memindahkan materi utama Anda melintasi Wilayah AWS batas-batas di dalamnya AWS KMS, sehingga kurangnya isolasi regional ini mungkin tidak sesuai dengan tujuan kedaulatan dan residensi organisasi Anda. Salah satu cara untuk mengatasinya adalah dengan menggunakan jenis kunci KMS yang berbeda, seperti kunci yang dikelola pelanggan khusus Wilayah.
### Toko kunci eksternal
Bagi banyak organisasi, penyimpanan AWS KMS kunci default di AWS Cloud dapat memenuhi kedaulatan data dan persyaratan peraturan umum mereka. Tetapi beberapa mungkin mengharuskan kunci enkripsi dibuat dan dipelihara di luar lingkungan cloud dan Anda memiliki jalur otorisasi dan audit independen. Dengan [penyimpanan kunci eksternal](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html) AWS KMS, Anda dapat mengenkripsi data pribadi dengan materi utama yang dimiliki dan dikendalikan organisasi Anda di luar. AWS Cloud Anda masih berinteraksi dengan AWS KMS API seperti biasa, tetapi hanya AWS KMS berinteraksi dengan perangkat lunak [proxy penyimpanan kunci eksternal (proxy XKS)](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html#concept-xks-proxy) yang Anda sediakan. Proxy penyimpanan kunci eksternal Anda kemudian memediasi semua komunikasi antara AWS KMS dan manajer kunci eksternal Anda.
Saat menggunakan penyimpanan kunci eksternal untuk enkripsi data, penting bagi Anda untuk mempertimbangkan overhead operasional tambahan dibandingkan dengan mempertahankan kunci masuk AWS KMS. Dengan penyimpanan kunci eksternal, Anda harus membuat, mengkonfigurasi, dan memelihara penyimpanan kunci eksternal. Juga, jika ada kesalahan dalam infrastruktur tambahan yang harus Anda pertahankan, seperti proxy XKS, dan konektivitas hilang, pengguna mungkin untuk sementara tidak dapat mendekripsi dan mengakses data. Bekerja sama dengan pemangku kepentingan kepatuhan dan peraturan Anda untuk memahami kewajiban hukum dan kontrak untuk enkripsi data pribadi dan perjanjian tingkat layanan Anda untuk ketersediaan dan ketahanan.
## AWS Lake Formation
Banyak organisasi yang membuat katalog dan mengkategorikan kumpulan data mereka melalui katalog metadata terstruktur ingin membagikan kumpulan data tersebut di seluruh organisasi mereka. Anda dapat menggunakan kebijakan izin AWS Identity and Access Management (IAM) untuk mengontrol akses ke seluruh kumpulan data, tetapi kontrol yang lebih terperinci sering diperlukan untuk kumpulan data yang berisi data pribadi dengan sensitivitas yang berbeda-beda. Misalnya, [spesifikasi tujuan dan batasan penggunaan](https://www.fpc.gov/resources/fipps/) (situs web FPC) mungkin menunjukkan bahwa tim pemasaran memerlukan akses ke alamat pelanggan, tetapi tim ilmu data tidak.
Ada juga tantangan privasi yang terkait dengan [data lake](https://aws.amazon.com/big-data/datalakes-and-analytics/datalakes/), yang memusatkan akses ke sejumlah besar data sensitif dalam format aslinya. Sebagian besar data organisasi dapat diakses secara terpusat di satu tempat, sehingga pemisahan data yang logis, terutama yang berisi data pribadi, dapat menjadi yang terpenting. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html)dapat membantu Anda mengatur tata kelola dan pemantauan saat berbagi data, apakah itu dari satu sumber atau banyak sumber yang terkandung dalam danau data. Di AWS PRA, Anda dapat menggunakan Lake Formation untuk memberikan kontrol akses berbutir halus ke data di bucket data bersama di akun Data.
Anda dapat menggunakan fitur [kontrol akses berbasis tag](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html) di Lake Formation. *Kontrol akses berbasis tag* adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Dalam Lake Formation, atribut ini disebut *LF-tag*. Dengan menggunakan LF-tag, Anda dapat melampirkan tag ini ke database, tabel, dan kolom Katalog Data dan memberikan tag yang sama ke prinsipal IAM. Lake Formation memungkinkan operasi pada sumber daya tersebut ketika prinsipal telah diberikan akses ke nilai tag yang cocok dengan nilai tag sumber daya. Gambar berikut menunjukkan bagaimana Anda dapat menetapkan LF-tag dan izin untuk memberikan akses berbeda ke data pribadi.
![\[LF-tag mengontrol kolom tabel mana yang dapat diakses tim.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/privacy-reference-architecture/images/lake-formation-tags.png)
Contoh ini menggunakan sifat hierarki tag. Kedua database berisi informasi yang dapat diidentifikasi secara pribadi (`PII:true`), tetapi tag pada tingkat kolumnar membatasi kolom tertentu untuk tim yang berbeda. Dalam contoh ini, prinsipal IAM yang memiliki `PII:true` LF-tag dapat mengakses sumber daya AWS Glue database yang memiliki tag ini. Prinsipal dengan `LOB:DataScience` LF-tag dapat mengakses kolom tertentu yang memiliki tag ini, dan prinsipal dengan `LOB:Marketing` LF-tag hanya dapat mengakses kolom yang memiliki tag ini. Pemasaran hanya dapat mengakses PII yang relevan dengan kasus penggunaan pemasaran, dan tim ilmu data hanya dapat mengakses PII yang relevan dengan kasus penggunaannya.
## AWS Local Zones
Jika Anda perlu mematuhi persyaratan residensi data, Anda dapat menyebarkan sumber daya yang menyimpan dan memproses data pribadi secara khusus Wilayah AWS untuk mendukung persyaratan ini. Anda juga dapat menggunakan [AWS Local Zones](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html), yang membantu Anda menempatkan komputasi, penyimpanan, database, dan AWS sumber daya pilihan lainnya dekat dengan populasi besar dan pusat industri. Zona Lokal adalah perpanjangan dari Wilayah AWS yang berada dalam kedekatan geografis dengan wilayah metropolitan yang besar. Anda dapat menempatkan jenis sumber daya tertentu dalam Zona Lokal, di dekat Wilayah yang sesuai dengan Zona Lokal. Local Zones dapat membantu Anda memenuhi persyaratan residensi data ketika suatu Wilayah tidak tersedia dalam yurisdiksi hukum yang sama. Saat Anda menggunakan Local Zones, pertimbangkan kontrol residensi data yang diterapkan dalam organisasi Anda. Misalnya, Anda mungkin memerlukan kontrol untuk mencegah transfer data dari Zona Lokal tertentu ke Wilayah lain. Untuk informasi selengkapnya tentang SCPs cara menggunakan pagar pembatas transfer data lintas batas, lihat [Praktik Terbaik untuk mengelola residensi data dalam menggunakan kontrol landing AWS Local Zones zone](https://aws.amazon.com/blogs/compute/best-practices-for-managing-data-residency-in-aws-local-zones-using-landing-zone-controls/) (AWS posting blog).
## AWS Enklaf Nitro
Pertimbangkan strategi segmentasi data Anda dari perspektif pemrosesan, seperti memproses data pribadi dengan layanan komputasi seperti Amazon Elastic Compute Cloud (Amazon EC2). Komputasi rahasia sebagai bagian dari strategi arsitektur yang lebih besar dapat membantu Anda mengisolasi pemrosesan data pribadi dalam kantong CPU yang terisolasi, terlindungi, dan tepercaya. Enklave adalah mesin virtual yang terpisah, mengeras, dan sangat dibatasi. [AWS Nitro Enclave](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html) adalah fitur Amazon EC2 yang dapat membantu Anda membuat lingkungan komputasi yang terisolasi ini. Untuk informasi selengkapnya, lihat [Desain Keamanan Sistem AWS Nitro](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html) (AWS whitepaper).
Nitro Enclave menyebarkan kernel yang dipisahkan dari kernel instance induk. Kernel instance induk tidak memiliki akses ke enklave. Pengguna tidak dapat SSH atau mengakses data dan aplikasi dari jarak jauh di enclave. Aplikasi yang memproses data pribadi dapat disematkan di kantong dan dikonfigurasi untuk menggunakan [Vsock](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-concepts.html#term-socket) enklave, soket yang memfasilitasi komunikasi antara enclave dan instance induk.
Salah satu kasus penggunaan di mana Nitro Enclave dapat berguna adalah pemrosesan bersama antara dua prosesor data yang terpisah Wilayah AWS dan yang mungkin tidak saling percaya. Gambar berikut menunjukkan bagaimana Anda dapat menggunakan enklaf untuk pemrosesan pusat, kunci KMS untuk mengenkripsi data pribadi sebelum dikirim ke enklaf, dan AWS KMS key kebijakan yang memverifikasi bahwa enklaf yang meminta dekripsi memiliki pengukuran unik dalam dokumen pengesahan. Untuk informasi dan petunjuk selengkapnya, lihat [Menggunakan pengesahan kriptografi](https://docs.aws.amazon.com/enclaves/latest/user/kms.html) dengan. AWS KMS Untuk contoh kebijakan kunci, lihat [Memerlukan pengesahan untuk menggunakan kunci AWS KMS](require-attestation-for-kms-key.md) di panduan ini.
![\[Menggunakan AWS Nitro Enclave untuk memproses data terenkripsi di bucket Amazon S3 di akun yang berbeda.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/privacy-reference-architecture/images/nitro-enclave.png)
Dengan implementasi ini, hanya pengolah data masing-masing dan enklave yang mendasarinya yang memiliki akses ke data pribadi plaintext. Satu-satunya tempat data diekspos, di luar lingkungan masing-masing prosesor data, adalah di kantong itu sendiri, yang dirancang untuk mencegah akses dan gangguan.
## AWS PrivateLink
Banyak organisasi ingin membatasi paparan data pribadi ke jaringan yang tidak tepercaya. Misalnya, jika Anda ingin meningkatkan privasi desain arsitektur aplikasi Anda secara keseluruhan, Anda dapat mengelompokkan jaringan berdasarkan sensitivitas data (mirip dengan pemisahan logis dan fisik kumpulan data yang dibahas di [Layanan AWS dan fitur yang membantu mengelompokkan data](#segment-data) bagian ini). [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)membantu Anda membuat koneksi pribadi searah dari cloud pribadi virtual Anda (VPCs) ke layanan di luar VPC. Dengan menggunakan AWS PrivateLink, Anda dapat mengatur koneksi pribadi khusus ke layanan yang menyimpan atau memproses data pribadi di lingkungan Anda; tidak perlu terhubung ke titik akhir publik dan mentransfer data ini melalui jaringan publik yang tidak tepercaya. Saat Anda mengaktifkan titik akhir AWS PrivateLink layanan untuk layanan dalam lingkup, tidak perlu gateway internet, perangkat NAT, alamat IP publik, AWS Direct Connect koneksi, atau AWS Site-to-Site VPN koneksi untuk berkomunikasi. Saat Anda menggunakan AWS PrivateLink untuk menyambung ke layanan yang menyediakan akses ke data pribadi, Anda dapat menggunakan kebijakan titik akhir VPC dan grup keamanan untuk mengontrol akses, sesuai dengan definisi perimeter [data](https://aws.amazon.com/identity/data-perimeters-on-aws/) organisasi Anda. Untuk contoh kebijakan titik akhir VPC yang hanya mengizinkan prinsip dan AWS sumber daya IAM di organisasi tepercaya untuk mengakses titik akhir layanan, lihat di panduan ini. [Memerlukan keanggotaan organisasi untuk mengakses sumber daya VPC](require-organization-membership.md)
## AWS Resource Access Manager
[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) membantu Anda berbagi sumber daya dengan aman Akun AWS untuk mengurangi overhead operasional dan memberikan visibilitas dan auditabilitas. Saat Anda merencanakan strategi segmentasi multi-akun Anda, pertimbangkan AWS RAM untuk menggunakan untuk berbagi penyimpanan data pribadi yang Anda simpan di akun terpisah dan terisolasi. Anda dapat membagikan data pribadi tersebut dengan akun tepercaya lainnya untuk keperluan pemrosesan. Di AWS RAM, Anda dapat [mengelola izin](https://docs.aws.amazon.com/ram/latest/userguide/security-ram-permissions.html) yang menentukan tindakan apa yang dapat dilakukan pada sumber daya bersama. Semua panggilan API ke AWS RAM login CloudTrail. Selain itu, Anda dapat mengonfigurasi CloudWatch Acara Amazon untuk memberi tahu Anda secara otomatis tentang peristiwa tertentu AWS RAM, seperti saat perubahan dilakukan pada pembagian sumber daya.
Meskipun Anda dapat berbagi banyak jenis AWS sumber daya dengan orang lain Akun AWS dengan menggunakan kebijakan berbasis sumber daya di IAM atau kebijakan bucket di Amazon S3, AWS RAM memberikan beberapa manfaat tambahan untuk privasi. AWS memberi pemilik data visibilitas tambahan tentang bagaimana dan dengan siapa data dibagikan di seluruh Anda Akun AWS, termasuk:
+ Mampu berbagi sumber daya dengan seluruh OU alih-alih memperbarui daftar akun secara manual IDs
+ Penegakan proses undangan untuk inisiasi berbagi jika akun konsumen bukan bagian dari organisasi Anda
+ Visibilitas ke mana prinsipal IAM tertentu memiliki akses ke setiap sumber daya individu
Jika sebelumnya Anda telah menggunakan kebijakan berbasis sumber daya untuk mengelola pembagian sumber daya dan ingin menggunakannya, AWS RAM gunakan operasi API. [PromoteResourceShareCreatedFromPolicy](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html)
## Amazon SageMaker AI
[Amazon SageMaker AI](https://aws.amazon.com/blogs/machine-learning/implement-model-independent-safety-measures-with-amazon-bedrock-guardrails/) adalah layanan pembelajaran mesin terkelola (ML) yang membantu Anda membangun dan melatih model ML, lalu menerapkannya ke lingkungan host yang siap produksi. SageMaker AI dirancang untuk mempermudah persiapan data pelatihan dan membuat fitur model.
### Monitor SageMaker Model Amazon
Banyak organisasi mempertimbangkan penyimpangan data saat melatih model ML. Data drift adalah variasi yang berarti antara data produksi dan data yang digunakan untuk melatih model ML, atau perubahan yang berarti dalam data input dari waktu ke waktu. Penyimpangan data dapat mengurangi kualitas, akurasi, dan keadilan keseluruhan dalam prediksi model ML. Jika sifat statistik dari data yang diterima model ML dalam produksi menjauh dari sifat data dasar yang dilatihnya, keakuratan prediksi mungkin menurun. [Amazon SageMaker Model Monitor](https://docs.aws.amazon.com/sagemaker/latest/dg/model-monitor.html) dapat terus memantau kualitas model pembelajaran mesin Amazon SageMaker AI dalam produksi dan memantau kualitas data. Deteksi drift data secara dini dan proaktif dapat membantu Anda menerapkan tindakan korektif, seperti melatih ulang model, mengaudit sistem hulu, atau memperbaiki masalah kualitas data. Model Monitor dapat meringankan kebutuhan untuk memantau model secara manual atau membangun perkakas tambahan.
### Amazon SageMaker Klarifikasi
[Amazon SageMaker Clarify](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html) memberikan wawasan tentang bias model dan penjelasan. SageMaker Clarify biasanya digunakan selama persiapan data model ML dan fase pengembangan secara keseluruhan. Pengembang dapat menentukan atribut yang menarik, seperti jenis kelamin atau usia, dan SageMaker Clarify menjalankan serangkaian algoritme untuk mendeteksi adanya bias pada atribut tersebut. Setelah algoritme berjalan, SageMaker Clarify memberikan laporan visual dengan deskripsi sumber dan pengukuran kemungkinan bias sehingga Anda dapat mengidentifikasi langkah-langkah untuk memulihkan bias. Misalnya, dalam kumpulan data keuangan yang hanya berisi beberapa contoh pinjaman bisnis untuk satu kelompok umur dibandingkan dengan yang lain, SageMaker dapat menandai ketidakseimbangan sehingga Anda dapat menghindari model yang tidak menyukai kelompok usia tersebut. Anda juga dapat memeriksa model bias yang sudah terlatih dengan meninjau prediksinya dan dengan terus memantau model MLnya untuk bias. Terakhir, SageMaker Clarify terintegrasi dengan [Amazon SageMaker AI Experiments](https://docs.aws.amazon.com/sagemaker/latest/dg/experiments.html) untuk memberikan grafik yang menjelaskan fitur mana yang paling berkontribusi pada proses pembuatan prediksi model secara keseluruhan. Informasi ini dapat berguna untuk memenuhi hasil penjelasan, dan ini dapat membantu Anda menentukan apakah input model tertentu memiliki pengaruh lebih besar daripada yang seharusnya pada perilaku model secara keseluruhan.
### Kartu SageMaker Model Amazon
[Kartu SageMaker Model Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/model-cards.html) dapat membantu Anda mendokumentasikan detail penting tentang model ML Anda untuk tujuan tata kelola dan pelaporan. Rincian ini dapat mencakup pemilik model, tujuan umum, kasus penggunaan yang dimaksudkan, asumsi yang dibuat, peringkat risiko model, detail dan metrik pelatihan, dan hasil evaluasi. Untuk informasi lebih lanjut, lihat [Model Explainability with AWS Artificial Intelligence and Machine Learning Solutions](https://docs.aws.amazon.com/whitepapers/latest/model-explainability-aws-ai-ml/model-explainability-aws-ai-ml.html) (AWS whitepaper).
### Amazon SageMaker Data Wrangler
[Amazon SageMaker Data Wrangler](https://aws.amazon.com/sagemaker/data-wrangler/) adalah alat pembelajaran mesin yang membantu merampingkan persiapan data dan proses rekayasa fitur. Ini menyediakan antarmuka visual yang membantu ilmuwan data dan insinyur pembelajaran mesin untuk dengan cepat dan mudah mempersiapkan dan mengubah data untuk digunakan dalam model pembelajaran mesin. Dengan Data Wrangler, Anda dapat mengimpor data dari berbagai sumber, seperti Amazon S3, Amazon Redshift, dan Amazon Athena. Kemudian, Anda dapat menggunakan lebih dari 300 transformasi data bawaan untuk membersihkan, menormalkan, dan menggabungkan fitur tanpa harus menulis kode apa pun.
Data Wrangler dapat digunakan sebagai bagian dari persiapan data dan proses rekayasa fitur di PRA. AWS Ini mendukung enkripsi data saat istirahat dan dalam perjalanan dengan menggunakan AWS KMS, dan menggunakan peran dan kebijakan IAM untuk mengontrol akses ke data dan sumber daya. Ini mendukung penyembunyian data melalui AWS Glue atau [Amazon SageMaker Feature Store](https://docs.aws.amazon.com/sagemaker/latest/dg/feature-store.html). Jika Anda mengintegrasikan Data Wrangler AWS Lake Formation, Anda dapat menerapkan kontrol dan izin akses data berbutir halus. Anda bahkan dapat menggunakan Data Wrangler dengan Amazon Comprehend untuk secara otomatis menyunting data pribadi dari data tabular sebagai bagian dari alur kerja MLOps Anda yang lebih luas. Untuk informasi selengkapnya, lihat [Menyunting PII secara otomatis untuk pembelajaran mesin menggunakan Amazon SageMaker Data Wrangler](https://aws.amazon.com/blogs/machine-learning/automatically-redact-pii-for-machine-learning-using-amazon-sagemaker-data-wrangler/) (AWS posting blog).
Fleksibilitas Data Wrangler membantu Anda menutupi data sensitif untuk banyak industri, seperti nomor rekening, nomor kartu kredit, nomor jaminan sosial, nama pasien, dan catatan medis dan militer. Anda dapat membatasi akses ke data sensitif apa pun atau memilih untuk menyuntingnya.
## AWS fitur yang membantu mengelola siklus hidup data
Ketika data pribadi tidak lagi diperlukan, Anda dapat menggunakan siklus hidup dan time-to-live kebijakan untuk data di banyak penyimpanan data yang berbeda. Saat mengonfigurasi kebijakan penyimpanan data, pertimbangkan lokasi berikut yang mungkin berisi data pribadi:
+ Database, seperti Amazon DynamoDB dan Amazon Relational Database Service (Amazon RDS)
+ Bucket Amazon S3
+ Log dari CloudWatch dan CloudTrail
+ Data cache dari migrasi di AWS Database Migration Service (AWS DMS) dan proyek AWS Glue DataBrew
+ Cadangan dan snapshot
Fitur Layanan AWS dan fitur berikut dapat membantu Anda mengonfigurasi kebijakan penyimpanan data di AWS lingkungan Anda:
+ [Siklus Hidup Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) — Seperangkat aturan yang menentukan tindakan yang diterapkan Amazon S3 pada sekelompok objek. Dalam konfigurasi Amazon S3 Lifecyle, Anda dapat membuat tindakan kedaluwarsa, yang menentukan kapan Amazon S3 menghapus objek kedaluwarsa atas nama Anda. Untuk informasi selengkapnya, lihat [Mengelola siklus hidup penyimpanan Anda](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html).
+ [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/snapshot-lifecycle.html) — Di Amazon EC2, buat kebijakan yang mengotomatiskan pembuatan, penyimpanan, dan penghapusan snapshot Amazon Elastic Block Store (Amazon EBS) dan Amazon Machine Images () yang didukung EBS (). AMIs
+ [DynamoDB Time to Live (TTL](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/TTL.html)) - Tentukan stempel waktu per item yang menentukan kapan item tidak lagi diperlukan. Tak lama setelah tanggal dan waktu stempel waktu yang ditentukan, DynamoDB menghapus item dari tabel Anda.
+ [Pengaturan penyimpanan CloudWatch log di Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) — Anda dapat menyesuaikan kebijakan penyimpanan untuk setiap grup log dengan nilai antara 1 hari dan 10 tahun.
+ [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)— Terapkan kebijakan perlindungan data secara terpusat untuk mengonfigurasi, mengelola, dan mengatur aktivitas pencadangan Anda di berbagai AWS sumber daya, termasuk bucket S3, instance database RDS, tabel DynamoDB, volume EBS, dan banyak lagi. Terapkan kebijakan pencadangan ke AWS sumber daya Anda dengan menentukan jenis sumber daya atau memberikan perincian tambahan dengan menerapkan berdasarkan tag sumber daya yang ada. Audit dan laporkan aktivitas pencadangan dari konsol terpusat untuk membantu memenuhi persyaratan kepatuhan cadangan.
## Layanan AWS dan fitur yang membantu mengelompokkan data
Segmentasi data adalah proses dimana Anda menyimpan data dalam wadah terpisah. Ini dapat membantu Anda memberikan langkah-langkah keamanan dan otentikasi yang berbeda untuk setiap kumpulan data dan untuk mengurangi cakupan dampak paparan untuk kumpulan data Anda secara keseluruhan. Misalnya, alih-alih menyimpan semua data pelanggan dalam satu database besar, Anda dapat mengelompokkan data ini menjadi grup yang lebih kecil dan lebih mudah dikelola.
Anda dapat menggunakan pemisahan fisik dan logis untuk mengelompokkan data pribadi:
+ **Pemisahan fisik** — Tindakan menyimpan data di penyimpanan data terpisah atau mendistribusikan data Anda ke AWS sumber daya yang terpisah. Meskipun data dipisahkan secara fisik, kedua sumber daya mungkin dapat diakses oleh prinsip yang sama. Inilah sebabnya mengapa kami merekomendasikan menggabungkan pemisahan fisik dengan pemisahan logis.
+ **Pemisahan logis** — Tindakan mengisolasi data dengan menggunakan kontrol akses. Fungsi pekerjaan yang berbeda memerlukan tingkat akses yang berbeda ke himpunan bagian data pribadi. Untuk contoh kebijakan yang menerapkan pemisahan logis, lihat [Berikan akses ke atribut Amazon DynamoDB tertentu](grant-access-dynamodb-attributes.md) di panduan ini.
Kombinasi pemisahan logis dan fisik memberikan fleksibilitas, kesederhanaan, dan perincian saat menulis kebijakan berbasis identitas dan sumber daya untuk mendukung akses yang berbeda di seluruh fungsi pekerjaan. Misalnya, dapat menjadi kompleks secara operasional untuk membuat kebijakan yang secara logis memisahkan klasifikasi data yang berbeda dalam satu bucket S3. Menggunakan bucket S3 khusus untuk setiap klasifikasi data menyederhanakan konfigurasi dan manajemen kebijakan.
## Layanan AWS dan fitur yang membantu menemukan, mengklasifikasikan, atau membuat katalog data
Beberapa organisasi belum mulai menggunakan alat ekstrak, muat, dan transformasi (ELT) di lingkungan mereka untuk secara proaktif membuat katalog data mereka. Pelanggan ini mungkin berada pada tahap penemuan data awal, di mana mereka ingin lebih memahami data yang mereka simpan dan proses AWS dan bagaimana itu terstruktur dan diklasifikasikan. Anda dapat menggunakan [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/data-classification.html) untuk lebih memahami data PII Anda di Amazon S3. Namun, Amazon Macie tidak dapat membantu Anda menganalisis sumber data lain, seperti Amazon Relational Database Service (Amazon RDS) dan Amazon Redshift. Anda dapat menggunakan dua pendekatan untuk mempercepat penemuan awal di awal [latihan pemetaan data](https://securiti.ai/blog/evolve-your-data-mapping/) yang lebih besar:
+ **Pendekatan manual** — Buat tabel dengan dua kolom dan baris sebanyak yang Anda butuhkan. Di kolom pertama, tulis karakterisasi data (seperti nama pengguna, alamat, atau jenis kelamin) yang mungkin ada di header atau badan paket jaringan atau dalam layanan apa pun yang Anda berikan. Mintalah tim kepatuhan Anda untuk menyelesaikan kolom kedua. Di kolom kedua, masukkan “ya” jika data dianggap pribadi dan “tidak” jika tidak. Tunjukkan semua jenis data pribadi yang dianggap sangat sensitif, seperti denominasi agama atau data kesehatan.
+ **Pendekatan otomatis** — Gunakan perkakas yang disediakan melalui AWS Marketplace. Salah satu alat tersebut adalah [Securiti](https://securiti.ai/). Solusi ini menawarkan integrasi yang memungkinkan mereka memindai dan menemukan data di berbagai jenis AWS sumber daya, serta aset di platform layanan cloud lainnya. Banyak dari solusi yang sama ini dapat terus mengumpulkan dan memelihara inventaris aset data dan aktivitas pemrosesan data dalam katalog data terpusat. Jika Anda mengandalkan alat untuk melakukan klasifikasi otomatis, mungkin diperlukan penyetelan aturan penemuan dan klasifikasi untuk menyelaraskan dengan definisi data pribadi organisasi Anda.