Datenschutz bei Amazon CloudFront - Amazon CloudFront

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz bei Amazon CloudFront

Das AWS Modell der gilt für den Datenschutz bei Amazon CloudFront. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie im Abschnitt Datenschutz FAQ. Informationen zum Datenschutz in Europa finden Sie im AWS Shared Responsibility Model und im GDPR Blogbeitrag im AWS Security Blog.

Aus Datenschutzgründen empfehlen wir, dass Sie Ihre AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto eine Multi-Faktor-Authentifizierung (MFA).

  • Verwenden SieSSL/TLS, um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Einrichtung API und Protokollierung von Benutzeraktivitäten mit AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden im AWS CloudTrail Benutzerhandbuch.

  • Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie FIPS 140-3 validierte kryptografische Module für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine benötigenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard () 140-3. FIPS

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole arbeiten CloudFront oder sie anderweitig AWS-Services verwenden,API, AWS CLI oder. AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie einem externen Server eine URL zur Verfügung stellen, empfehlen wir dringend, dass Sie keine Anmeldeinformationen in den angebenURL, um Ihre Anfrage an diesen Server zu überprüfen.

Amazon CloudFront bietet verschiedene Optionen, mit denen Sie die bereitgestellten Inhalte schützen können:

  • HTTPSVerbindungen konfigurieren.

  • Konfigurieren Sie die Verschlüsselung auf Feldebene, um während der Übertragung zusätzliche Sicherheit für bestimmte Daten zu bieten.

  • Beschränken des Zugriffs auf Inhalte, sodass nur bestimmte Personen oder Personen eines bestimmten Bereichs diese sehen können.

Die folgenden Themen erläutern die Optionen im Detail.

Verschlüsselung während der Übertragung

Um Ihre Daten während der Übertragung CloudFront zu verschlüsseln, konfigurieren Sie Amazon so, dass Zuschauer Ihre Dateien anfordern HTTPS müssen, sodass Verbindungen bei der CloudFront Kommunikation mit Zuschauern verschlüsselt werden. Sie können auch so konfigurieren CloudFront , dass Dateien von Ihrem Absender abgerufen werden, sodass Verbindungen bei der CloudFront Kommunikation mit Ihrem Absender verschlüsselt werden. HTTPS

Weitere Informationen finden Sie unter Verwenden Sie HTTPS mit CloudFront.

Die Verschlüsselung auf Feldebene bietet eine zusätzliche Sicherheitsebene und ermöglicht es IhnenHTTPS, bestimmte Daten während der gesamten Systemverarbeitung zu schützen, sodass nur bestimmte Anwendungen sie sehen können. Durch die Konfiguration der Verschlüsselung auf Feldebene können Sie vertrauliche Informationen CloudFront, die von Benutzern übermittelt wurden, sicher auf Ihre Webserver hochladen. Die sensiblen Informationen, die Ihnen von Clients zur Verfügung gestellt werden, werden an dem Edge-Standort verschlüsselt, der näher am Benutzer ist. Die Verschlüsselung bleibt für den gesamten Anwendungs-Stack erhalten. Auf diese Weise wird sichergestellt, dass nur Anwendungen, die die Daten benötigen (und über die Anmeldeinformationen zur Entschlüsselung verfügen) dazu in der Lage sind.

Weitere Informationen finden Sie unter Vertrauliche Daten durch Verschlüsselung auf Feldebene schützen.

Die CloudFront API Endpunkte cloudfront.amazonaws.com und akzeptieren nur Datenverkehrcloudfront-fips.amazonaws.com. HTTPS Das bedeutet, dass beim Senden und Empfangen von Informationen mithilfe der CloudFront API Ihre Daten — einschließlich Verteilungskonfigurationen, Cache-Richtlinien und Richtlinien für Ursprungsanfragen, Schlüsselgruppen und öffentliche Schlüssel sowie Funktionscode in CloudFront Funktionen — bei der Übertragung immer verschlüsselt werden. Darüber hinaus werden alle an die CloudFront API Endgeräte gesendeten Anfragen mit Anmeldeinformationen signiert und angemeldet. AWS AWS CloudTrail

Der Funktionscode und die Konfiguration in CloudFront Functions werden bei der Übertragung immer verschlüsselt, wenn sie an den Edge-Standort (Points of PresencePOPs) und zwischen anderen Speicherorten, die von CloudFront verwendet werden, kopiert werden.

Verschlüsselung im Ruhezustand

Der Funktionscode und die Konfiguration in CloudFront Functions werden immer in einem verschlüsselten Format am Edge-Standort und an anderen Speicherorten gespeichertPOPs, die von verwendet werden CloudFront.

Einschränken des Zugriffs auf Inhalte

Viele Unternehmen, die Inhalte über das Internet bereitstellen, möchten den Zugriff auf Dokumente, Geschäftsdaten, Medien-Streams oder Inhalte, die nur für ausgewählte Benutzer gedacht sind, beschränken. Um diese Inhalte mithilfe von Amazon sicher bereitzustellen CloudFront, können Sie einen oder mehrere der folgenden Schritte ausführen:

Verwenden Sie signierte Cookies URLs oder Cookies

Sie können den Zugriff auf Inhalte einschränken, die für bestimmte Nutzer bestimmt sind — beispielsweise Nutzer, die eine Gebühr bezahlt haben —, indem Sie diese privaten Inhalte mithilfe CloudFront signierter oder signierter Cookies bereitstellen. URLs Weitere Informationen finden Sie unter Stellen Sie private Inhalte mit signierten URLs und signierten Cookies bereit.

Beschränken des Zugriffs auf Inhalte in Amazon S3-Buckets

Wenn Sie den Zugriff auf Ihre Inhalte einschränken, indem Sie beispielsweise CloudFront signierte URLs oder signierte Cookies verwenden, möchten Sie auch nicht, dass andere Personen Dateien aufrufen, indem sie direkt für die Datei klicken. URL Stattdessen möchten Sie, dass sie nur mithilfe von auf die Dateien zugreifen CloudFront URL, damit Ihr Schutz funktioniert.

Wenn Sie einen Amazon S3 S3-Bucket als Ursprung für eine CloudFront Distribution verwenden, können Sie eine Origin-Zugriffskontrolle (OAC) einrichten, die es ermöglicht, den Zugriff auf den S3-Bucket einzuschränken. Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf einen Amazon Simple Storage Service-Ursprung.

Beschränken des Zugriffs auf Inhalte von einem Application Load Balancer

Wenn Sie einen Application Load Balancer in Elastic Load Balancing als Ursprung verwenden CloudFront , können Sie die Konfiguration so konfigurierenCloudFront , dass Benutzer nicht direkt auf den Application Load Balancer zugreifen können. Auf diese Weise können Benutzer nur über den Application Load Balancer auf den Application Load Balancer zugreifen CloudFront, sodass Sie alle Vorteile der Verwendung nutzen CloudFront können. Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf Application Load Balancers.

Verwenden Sie das Internet AWS WAF ACLs

Sie können einen Firewall-Dienst für Webanwendungen verwenden AWS WAF, um eine Web-Zugriffskontrollliste (WebACL) zu erstellen, um den Zugriff auf Ihre Inhalte einzuschränken. Basierend auf den von Ihnen angegebenen Bedingungen, wie z. B. den IP-Adressen, von denen Anfragen stammen, oder den Werten von Abfragezeichenfolgen, CloudFront beantwortet das Programm Anfragen entweder mit dem angeforderten Inhalt oder mit dem Statuscode HTTP 403 (Forbidden). Weitere Informationen finden Sie unter AWS WAF Schutzmaßnahmen verwenden.

Verwenden von geografische Einschränkungen

Sie können geografische Beschränkungen, auch Geoblocking genannt, verwenden, um zu verhindern, dass Benutzer an bestimmten geografischen Standorten auf Inhalte zugreifen, die Sie über eine CloudFront Distribution bereitstellen. Beim Konfigurieren geografischer Einschränkungen können Sie aus verschiedenen Optionen wählen. Weitere Informationen finden Sie unter Beschränken Sie die geografische Verteilung Ihrer Inhalte.