Datenschutz in Amazon CloudFront - Amazon CloudFront

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz in Amazon CloudFront

Das Modell der AWS geteilten gilt für den Datenschutz in Amazon CloudFront. https://aws.amazon.com/compliance/shared-responsibility-model/ Wie in diesem Modell beschrieben, ist AWS für den Schutz der globalen Infrastruktur verantwortlich, in der die gesamte AWS Cloud ausgeführt wird. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter Häufig gestellte Fragen zum Datenschutz. Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag AWS-Modell der geteilten Verantwortung und in der DSGVO im AWS-Sicherheitsblog.

Aus Datenschutzgründen empfehlen wir, AWS-Konto-Anmeldeinformationen zu schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einzurichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Faktor Authentifizierung (MFA).

  • Verwenden Sie SSL/TLS für die Kommunikation mit AWS-Ressourcen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit AWS CloudTrail ein.

  • Verwenden Sie AWS-Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen in AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-2.

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit CloudFront oder anderen AWS-Services über die Konsole, APIAWS CLI, oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Amazon CloudFront bietet mehrere Optionen, mit denen Sie die bereitgestellten Inhalte sichern können:

  • Konfigurieren von HTTPS-Verbindungen.

  • Konfigurieren Sie die Verschlüsselung auf Feldebene, um während der Übertragung zusätzliche Sicherheit für bestimmte Daten zu bieten.

  • Beschränken des Zugriffs auf Inhalte, sodass nur bestimmte Personen oder Personen eines bestimmten Bereichs diese sehen können.

Die folgenden Themen erläutern die Optionen im Detail.

Verschlüsselung während der Übertragung

Um Ihre Daten während der Übertragung zu verschlüsseln, konfigurieren Sie Amazon CloudFront so, dass Betrachter HTTPS verwenden müssen, um Ihre Dateien anzufordern, damit Verbindungen verschlüsselt werden, wenn CloudFront mit den Betrachtern kommuniziert. Sie können auch für CloudFront die Verwendung von HTTPS konfigurieren, um Dateien von Ihrem Ursprung abzurufen, damit Verbindungen verschlüsselt werden, wenn mit Ihrem Ursprung CloudFront kommuniziert.

Weitere Informationen finden Sie unter Verwenden Sie HTTPS mit CloudFront.

Die Verschlüsselung auf Feldebene fügt zusammen mit HTTPS eine zusätzliche Sicherheitsschicht hinzu, mit der Sie bestimmte Daten während der gesamten Systemverarbeitung schützen können, sodass nur bestimmte Anwendungen sie sehen können. Durch die Konfiguration der Verschlüsselung auf Feldebene in können CloudFrontSie vom Benutzer übermittelte vertrauliche Informationen sicher auf Ihre Webserver hochladen. Die sensiblen Informationen, die Ihnen von Clients zur Verfügung gestellt werden, werden an dem Edge-Standort verschlüsselt, der näher am Benutzer ist. Die Verschlüsselung bleibt für den gesamten Anwendungs-Stack erhalten. Auf diese Weise wird sichergestellt, dass nur Anwendungen, die die Daten benötigen (und über die Anmeldeinformationen zur Entschlüsselung verfügen) dazu in der Lage sind.

Weitere Informationen finden Sie unter Vertrauliche Daten durch Verschlüsselung auf Feldebene schützen.

Die CloudFront API-Endpunkte cloudfront.amazonaws.com und akzeptieren cloudfront-fips.amazonaws.comnur HTTPS-Datenverkehr. Das bedeutet, dass Ihre Daten – einschließlich Verteilungskonfigurationen, Cache CloudFront -Richtlinien und Ursprungsanforderungsrichtlinien, Schlüsselgruppen und öffentlichen Schlüsseln sowie Funktionscode in CloudFront Functions – während der Übertragung immer verschlüsselt werden, wenn Sie Informationen über die API senden und empfangen. Darüber hinaus werden alle an die CloudFront API-Endpunkte gesendeten Anfragen mit -AWSAnmeldeinformationen signiert und angemeldetAWS CloudTrail.

Funktionscode und Konfiguration in CloudFront Functions werden während der Übertragung immer verschlüsselt, wenn sie an die Edge Location Points of Presence (POPs) und zwischen anderen von verwendeten Speicherorten kopiert werden CloudFront.

Verschlüsselung im Ruhezustand

Funktionscode und Konfiguration in CloudFront Functions werden immer in einem verschlüsselten Format auf den Edge-Standort-POPs und an anderen von verwendeten Speicherorten gespeichert CloudFront.

Einschränken des Zugriffs auf Inhalte

Viele Unternehmen, die Inhalte über das Internet bereitstellen, möchten den Zugriff auf Dokumente, Geschäftsdaten, Medien-Streams oder Inhalte, die nur für ausgewählte Benutzer gedacht sind, beschränken. Um diesen Inhalt mithilfe von Amazon sicher bereitzustellen CloudFront, können Sie einen oder mehrere der folgenden Schritte ausführen:

Verwenden signierter URLs oder Cookies

Sie können den Zugriff auf Inhalte einschränken, die für ausgewählte Benutzer bestimmt sind, z. B. für Benutzer, die eine Gebühr bezahlt haben, indem Sie diese privaten Inhalte CloudFront über signierte URLs oder signierte Cookies bereitstellen. Weitere Informationen finden Sie unter Stellen Sie private Inhalte mit signierten URLs und signierten Cookies bereit.

Beschränken des Zugriffs auf Inhalte in Amazon S3-Buckets

Wenn Sie den Zugriff auf Ihre Inhalte einschränken, indem Sie beispielsweise CloudFront signierte URLs oder signierte Cookies verwenden, möchten Sie auch nicht, dass Benutzer Dateien über die direkte URL für die Datei anzeigen. Stattdessen möchten Sie, dass der Zugriff auf die Dateien nur über die CloudFront -URL möglich ist, sodass Ihre Schutzmechanismen funktionieren.

Wenn Sie einen Amazon S3-Bucket als Ursprung für eine CloudFront Verteilung verwenden, können Sie eine Ursprungszugriffssteuerung (OAC) einrichten, mit der der Zugriff auf den S3-Bucket eingeschränkt werden kann. Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf einen Amazon Simple Storage Service-Ursprung.

Beschränken des Zugriffs auf Inhalte von einem Application Load Balancer

Wenn Sie CloudFront mit einem Application Load Balancer in Elastic Load Balancing als Ursprung verwenden, können Sie CloudFront so konfigurieren, dass Benutzer nicht direkt auf den Application Load Balancer zugreifen. Auf diese Weise können Benutzer nur über auf den Application Load Balancer zugreifen CloudFrontund sicherstellen, dass Sie die Vorteile der Verwendung von nutzen CloudFront. Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf Application Load Balancers.

Verwenden von AWS WAF-Web-ACLs

Sie können AWS WAF, einen Webanwendungsfirewall-Service, nutzen, um eine Web-Zugriffskontrollliste zu erstellen, die den Zugriff auf Ihre Inhalte beschränkt. Basierend auf den von Ihnen angegebenen Bedingungen, z. B. den IP-Adressen, von denen die Anforderungen stammen, oder den Werten von Abfragezeichenfolgen, CloudFront antwortet auf Anforderungen entweder mit den angeforderten Inhalten oder mit einem HTTP-Statuscode 403 (Forbidden). Weitere Informationen finden Sie unter AWS WAF Schutzmaßnahmen verwenden.

Verwenden von geografische Einschränkungen

Mithilfe einer geografischen Einschränkung oder Geoblockierung können Sie verhindern, dass Benutzer aus bestimmten geografischen Regionen auf Inhalte zugreifen, die Sie über eine CloudFront-Verteilung bereitstellen. Beim Konfigurieren geografischer Einschränkungen können Sie aus verschiedenen Optionen wählen. Weitere Informationen finden Sie unter Beschränken Sie die geografische Verteilung Ihrer Inhalte.