Datenschutz bei Amazon CloudFront - Amazon CloudFront
Verschlüsselung während der ÜbertragungVerschlüsselung im RuhezustandEinschränken des Zugriffs auf Inhalte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz bei Amazon CloudFront

Das AWS Modell der gilt für den Datenschutz bei Amazon CloudFront. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter Häufig gestellte Fragen zum Datenschutz. Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag AWS -Modell der geteilten Verantwortung und in der DSGVO im AWS -Sicherheitsblog.

Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).

  • Verwenden Sie SSL/TLS, um mit Ressourcen zu kommunizieren. AWS Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein. AWS CloudTrail

  • Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-2.

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole, der API CloudFront oder den SDKs arbeiten oder diese anderweitig AWS-Services verwenden. AWS CLI AWS Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Amazon CloudFront bietet verschiedene Optionen, mit denen Sie die bereitgestellten Inhalte schützen können:

  • Konfigurieren von HTTPS-Verbindungen.

  • Konfigurieren Sie die Verschlüsselung auf Feldebene, um während der Übertragung zusätzliche Sicherheit für bestimmte Daten zu bieten.

  • Beschränken des Zugriffs auf Inhalte, sodass nur bestimmte Personen oder Personen eines bestimmten Bereichs diese sehen können.

Die folgenden Themen erläutern die Optionen im Detail.

Verschlüsselung während der Übertragung

Um Ihre Daten während der Übertragung zu verschlüsseln, konfigurieren Sie Amazon CloudFront so, dass Zuschauer HTTPS verwenden müssen, um Ihre Dateien anzufordern, sodass Verbindungen bei der CloudFront Kommunikation mit Zuschauern verschlüsselt werden. Sie können auch so konfigurieren CloudFront , dass HTTPS verwendet wird, um Dateien von Ihrem Ursprung abzurufen, sodass Verbindungen bei der CloudFront Kommunikation mit Ihrem Ursprung verschlüsselt werden.

Weitere Informationen finden Sie unter Verwenden Sie HTTPS mit CloudFront.

Die Verschlüsselung auf Feldebene fügt zusammen mit HTTPS eine zusätzliche Sicherheitsschicht hinzu, mit der Sie bestimmte Daten während der gesamten Systemverarbeitung schützen können, sodass nur bestimmte Anwendungen sie sehen können. Durch die Konfiguration der Verschlüsselung auf Feldebene können Sie vertrauliche Informationen CloudFront, die von Benutzern übermittelt wurden, sicher auf Ihre Webserver hochladen. Die sensiblen Informationen, die Ihnen von Clients zur Verfügung gestellt werden, werden an dem Edge-Standort verschlüsselt, der näher am Benutzer ist. Die Verschlüsselung bleibt für den gesamten Anwendungs-Stack erhalten. Auf diese Weise wird sichergestellt, dass nur Anwendungen, die die Daten benötigen (und über die Anmeldeinformationen zur Entschlüsselung verfügen) dazu in der Lage sind.

Weitere Informationen finden Sie unter Vertrauliche Daten durch Verschlüsselung auf Feldebene schützen.

Die CloudFront API-Endpunkte cloudfront.amazonaws.com und akzeptieren nur cloudfront-fips.amazonaws.com HTTPS-Verkehr. Das heißt, wenn Sie Informationen über die CloudFront API senden und empfangen, werden Ihre Daten — einschließlich Verteilungskonfigurationen, Cache-Richtlinien und Richtlinien für Ursprungsanfragen, Schlüsselgruppen und öffentliche Schlüssel sowie Funktionscode in CloudFront Funktionen — bei der Übertragung immer verschlüsselt. Darüber hinaus werden alle Anfragen, die an die CloudFront API-Endpunkte gesendet werden, mit Anmeldeinformationen signiert und angemeldet. AWS AWS CloudTrail

Der Funktionscode und die Konfiguration in CloudFront Functions werden bei der Übertragung immer verschlüsselt, wenn sie an die Edge Location Points of Presence (POPs) und zwischen anderen Speicherorten, die von verwendet werden, kopiert werden. CloudFront

Verschlüsselung im Ruhezustand

Der Funktionscode und die Konfiguration in CloudFront Functions werden immer in einem verschlüsselten Format auf den POPs am Edge-Standort und an anderen Speicherorten gespeichert, die von verwendet werden. CloudFront

Einschränken des Zugriffs auf Inhalte

Viele Unternehmen, die Inhalte über das Internet bereitstellen, möchten den Zugriff auf Dokumente, Geschäftsdaten, Medien-Streams oder Inhalte, die nur für ausgewählte Benutzer gedacht sind, beschränken. Um diese Inhalte mithilfe von Amazon sicher bereitzustellen CloudFront, können Sie einen oder mehrere der folgenden Schritte ausführen:

Verwenden signierter URLs oder Cookies

Sie können den Zugriff auf Inhalte einschränken, die für ausgewählte Nutzer bestimmt sind — z. B. Nutzer, die eine Gebühr bezahlt haben —, indem Sie diese privaten Inhalte CloudFront mithilfe signierter URLs oder signierter Cookies bereitstellen. Weitere Informationen finden Sie unter Stellen Sie private Inhalte mit signierten URLs und signierten Cookies bereit.

Beschränken des Zugriffs auf Inhalte in Amazon S3-Buckets

Wenn Sie den Zugriff auf Ihre Inhalte einschränken, indem Sie beispielsweise CloudFront signierte URLs oder signierte Cookies verwenden, möchten Sie auch nicht, dass andere Personen Dateien über die direkte URL für die Datei aufrufen. Stattdessen möchten Sie, dass sie nur über die CloudFront URL auf die Dateien zugreifen, damit Ihr Schutz funktioniert.

Wenn Sie einen Amazon S3 S3-Bucket als Ursprung für eine CloudFront Distribution verwenden, können Sie eine Origin Access Control (OAC) einrichten, die es ermöglicht, den Zugriff auf den S3-Bucket einzuschränken. Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf einen Amazon Simple Storage Service-Ursprung.

Beschränken des Zugriffs auf Inhalte von einem Application Load Balancer

Wenn Sie einen Application Load Balancer in Elastic Load Balancing als Ursprung verwenden CloudFront , können Sie die Konfiguration so konfigurierenCloudFront , dass Benutzer nicht direkt auf den Application Load Balancer zugreifen können. Auf diese Weise können Benutzer nur über den Application Load Balancer auf den Application Load Balancer zugreifen CloudFront, sodass Sie alle Vorteile der Verwendung nutzen CloudFront können. Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf Application Load Balancers.

Verwenden Sie AWS WAF Web-ACLs

Sie können einen Firewall-Dienst für Webanwendungen verwenden AWS WAF, um eine Web Access Control List (Web ACL) zu erstellen, um den Zugriff auf Ihre Inhalte einzuschränken. Basierend auf den von Ihnen angegebenen Bedingungen, wie z. B. den IP-Adressen, von denen Anfragen stammen, oder den Werten von Abfragezeichenfolgen, CloudFront reagiert der Dienst auf Anfragen entweder mit dem angeforderten Inhalt oder mit einem HTTP-403-Statuscode (Forbidden). Weitere Informationen finden Sie unter AWS WAF Schutzmaßnahmen verwenden.

Verwenden von geografische Einschränkungen

Sie können geografische Beschränkungen, auch Geoblocking genannt, verwenden, um zu verhindern, dass Benutzer an bestimmten geografischen Standorten auf Inhalte zugreifen, die Sie über eine CloudFront Distribution bereitstellen. Beim Konfigurieren geografischer Einschränkungen können Sie aus verschiedenen Optionen wählen. Weitere Informationen finden Sie unter Beschränken Sie die geografische Verteilung Ihrer Inhalte.