Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in Catena di approvvigionamento di AWS
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di di si applica alla protezione dei dati in Catena di approvvigionamento di AWS. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori Catena di approvvigionamento di AWS o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
## Dati gestiti da Catena di approvvigionamento di AWS
Per limitare i dati a cui possono accedere gli utenti autorizzati di una specifica istanza di AWS Supply Chain, i dati contenuti all'interno di AWS Supply Chain sono separati in base all'ID AWS dell'account e all'ID dell'istanza AWS Supply Chain.
AWS Supply Chain gestisce una varietà di dati della catena di approvvigionamento, come le informazioni sugli utenti, le informazioni estratte dal connettore dati e i dettagli dell'inventario.
## Preferenza di opt-out
Possiamo utilizzare e archiviare i tuoi contenuti elaborati da Catena di approvvigionamento di AWS, come indicato nei [Termini del servizio AWS](https://aws.amazon.com/service-terms/). Se desideri rinunciare all'utilizzo o all' Catena di approvvigionamento di AWS archiviazione dei tuoi contenuti, puoi creare una policy di opt-out in AWS Organizations. Per ulteriori informazioni sulla creazione di una politica di opt-out, consulta la sintassi e gli esempi della policy di [opt-out dei servizi AI](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_syntax.html).
## Crittografia dei dati a riposo
I dati di contatto classificati come PII, ovvero i dati che rappresentano i contenuti dei clienti, compresi i contenuti utilizzati in Amazon Q e archiviati da Catena di approvvigionamento di AWS, vengono crittografati quando sono inattivi (ovvero prima di Catena di approvvigionamento di AWS essere inseriti, archiviati o salvati su disco) con una chiave limitata nel tempo e specifica per l' Catena di approvvigionamento di AWS istanza.
La crittografia lato server di Amazon S3 viene utilizzata per crittografare tutti i dati della console e delle applicazioni Web con una chiave AWS Key Management Service dati unica per ogni account cliente. [Per informazioni su AWS KMS keys, consulta What is? AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) nella Guida per gli AWS Key Management Service sviluppatori.
**Nota**
Catena di approvvigionamento di AWS le funzionalità Supply Planning e N-Tier Visibility non supportano la crittografia data-at-rest con il KMS-CMK fornito.
## Crittografia dei dati in transito
I dati, inclusi i contenuti utilizzati in Amazon Q e Catena di approvvigionamento di AWS scambiati con AWS Supply Chain, sono protetti durante il transito tra il browser Web dell'utente e la catena di AWS fornitura utilizzando la crittografia TLS standard del settore.
## Gestione delle chiavi
Catena di approvvigionamento di AWS supporta parzialmente KMS-CMK.
Per informazioni sull'aggiornamento della chiave AWS KMS Catena di approvvigionamento di AWS, consulta. [Fase 2: Creazione di un'istanza](creating-instance.md)
## Riservatezza del traffico inter-rete
**Nota**
Catena di approvvigionamento di AWS non supporta PrivateLink.
Un endpoint di cloud privato virtuale (VPC) per Catena di approvvigionamento di AWS è un'entità logica all'interno di un VPC che consente la connettività solo a. Catena di approvvigionamento di AWS Il VPC indirizza le richieste Catena di approvvigionamento di AWS e reindirizza le risposte al VPC. Per ulteriori informazioni, consulta [VPC Endpoints nella VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html) User Guide.
## Come utilizza le sovvenzioni Catena di approvvigionamento di AWS in AWS KMS
Catena di approvvigionamento di AWS richiede una [concessione](/kms/latest/developerguide/grants.html) per utilizzare la chiave gestita dal cliente.
Catena di approvvigionamento di AWS crea diverse concessioni utilizzando la AWS KMS chiave che viene passata durante l'**CreateInstance**operazione. Catena di approvvigionamento di AWS crea una sovvenzione per tuo conto inviando [/kms/latest/APIReference/API_CreateGrant.html](/kms/latest/APIReference/API_CreateGrant.html)richieste a AWS KMS. Le sovvenzioni AWS KMS vengono utilizzate per Catena di approvvigionamento di AWS consentire l'accesso alla AWS KMS chiave in un account cliente.
**Nota**
Catena di approvvigionamento di AWS utilizza il proprio meccanismo di autorizzazione. Una volta aggiunto un utente Catena di approvvigionamento di AWS, non è possibile negare che lo stesso utente utilizzi la AWS KMS politica.
Catena di approvvigionamento di AWS utilizza la concessione per quanto segue:
+ Per inviare **GenerateDataKey**richieste AWS KMS di [/forecast/latest/dg/data-protection.html#kms-grants](/forecast/latest/dg/data-protection.html#kms-grants) dei dati archiviati nell'istanza.
+ A cui inviare richieste **Decrypt** per AWS KMS leggere i dati crittografati associati all'istanza.
+ Per aggiungere *DescribeKey*e *RetireGrant*autorizzazioni per proteggere i tuoi dati quando li invii ad altri AWS servizi come Amazon Forecast. *CreateGrant*
Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. Se lo fai, non Catena di approvvigionamento di AWS sarai in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati.
### Monitoraggio della crittografia per Catena di approvvigionamento di AWS
Gli esempi seguenti sono AWS CloudTrail eventi per `Encrypt` e `Decrypt` per monitorare le operazioni KMS chiamate Catena di approvvigionamento di AWS ad accedere ai dati crittografati dalla chiave gestita dal cliente: `GenerateDataKey`
------
#### [ Encrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::test/rawEvent/bf6666c1-111-48aaca-b6b0-dsadsadsa3432423/noFlowName/scn.data.inboundorder/20240306_223934_536"
},
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
"keySpec": "AES_222"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------