Protection des données sur Amazon EC2 - Amazon Elastic Compute Cloud
Sécurité EBS des données AmazonChiffrement au reposChiffrement en transit

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données sur Amazon EC2

Le AWS modèle de responsabilité partagée modèle s'applique à la protection des données dans Amazon Elastic Compute Cloud. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. Il vous incombe de garder le contrôle sur votre contenu hébergé sur cette infrastructure. Vous êtes également responsable de la configuration de la sécurité et des tâches de gestion pour Services AWS que tu utilises. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQ. Pour plus d'informations sur la protection des données en Europe, consultez le AWS Modèle de responsabilité partagée et article de GDPR blog sur AWS Blog sur la sécurité.

Pour des raisons de protection des données, nous vous recommandons de protéger Compte AWS informations d'identification et configuration des utilisateurs individuels avec AWS IAM Identity Center or AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l'authentification multifactorielle (MFA) pour chaque compte.

  • UtilisezSSL/TLSpour communiquer avec AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Configuration API et enregistrement des activités des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation CloudTrail des sentiers pour capturer AWS activités, voir Travailler avec les CloudTrail sentiers dans le AWS CloudTrail Guide de l'utilisateur.

  • Utiliser AWS des solutions de chiffrement, ainsi que tous les contrôles de sécurité par défaut Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un FIPS point de terminaison. Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec Amazon EC2 ou un autre Services AWS à l'aide de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.

Sécurité EBS des données Amazon

Les EBS volumes Amazon vous sont présentés sous forme de blocs bruts et non formatés. Ces appareils sont des appareils logiques créés sur l'EBSinfrastructure et le EBS service Amazon garantit qu'ils sont logiquement vides (c'est-à-dire que les blocs bruts sont mis à zéro ou qu'ils contiennent des données cryptographiquement pseudo-aléatoires) avant toute utilisation ou réutilisation par un client.

Si vous avez des procédures qui exigent que toutes les données soient effacées à l'aide d'une méthode spécifique, après ou avant utilisation (ou les deux), telles que celles décrites dans le DoD 5220.22-M (manuel d'exploitation du programme national de sécurité industrielle) NISTou 800-88 (directives pour la désinfection des médias), vous pouvez le faire sur Amazon. EBS Cette activité au niveau des blocs sera répercutée sur le support de stockage sous-jacent au sein du service AmazonEBS.

Chiffrement au repos

EBSvolumes

Amazon EBS Encryption est une solution de chiffrement pour vos EBS volumes et vos instantanés. Il utilise AWS KMS keys. Pour plus d'informations, consultez Amazon EBS Encryption dans le guide de EBS l'utilisateur Amazon.

[Instances Windows] Vous pouvez également utiliser Microsoft EFS et NTFS les autorisations pour le chiffrement au niveau des dossiers et des fichiers.

Volumes de stockage d’instances

Les données des volumes de stockage d'NVMeinstance sont chiffrées à l'aide d'un chiffrement XTS - AES -256, implémenté sur un module matériel de l'instance. Les clés utilisées pour chiffrer les données écrites sur des périphériques de NVMe stockage connectés localement sont définies par client et par volume. Les clés sont générées par, et résident uniquement dans, le module matériel, qui est inaccessible à AWS personnel. Les clés de chiffrement sont détruites lorsque l’instance est arrêtée ou résiliée et ne peuvent pas être récupérées. Vous ne pouvez pas désactiver le chiffrement et vous ne pouvez pas fournir votre propre clé de chiffrement.

Les données des volumes de stockage d'HDDinstance des instances H1, D3 et D3en sont chiffrées à l'aide de XTS AES -256 et de clés à usage unique.

Lorsque vous arrêtez, mettez en veille prolongée ou résiliez une instance, chaque bloc de stockage du volume de stockage d’instances est réinitialisé. Par conséquent, vos données ne sont pas accessibles via le stockage d’instances d’une autre instance.

Mémoire

Le chiffrement de la mémoire est activé sur les instances suivantes :

  • Instances avec AWS Processeurs Graviton. AWS Graviton2, AWS Graviton3, et AWS Graviton3E prend en charge le chiffrement permanent de la mémoire. Les clés de chiffrement sont générées en toute sécurité dans le système hôte, elles ne quittent jamais le système hôte et sont détruites lorsque l’hôte est redémarré ou mis hors tension. Pour plus d’informations, consultez .AWS Processeurs Graviton.

  • Les instances dotées de processeurs Intel Xeon Scalable de 3e génération (Ice Lake), telles que les instances M6i, et de processeurs Intel Xeon Scalable de 4e génération (Sapphire Rapids), tels que les instances M7i. Ces processeurs prennent en charge le chiffrement permanent de la mémoire à l'aide du protocole Intel Total Memory Encryption ()TME.

  • Instances dotées de AMD EPYC processeurs de 3e génération (Milan), tels que les instances M6a, et de AMD EPYC processeurs de 4e génération (Gênes), tels que les instances M7a. Ces processeurs prennent en charge le chiffrement permanent de la mémoire à l'aide de AMD Secure Memory Encryption ()SME. Les instances dotées de AMD EPYC processeurs de 3e génération (Milan) prennent également en charge la virtualisation cryptée AMD sécurisée et la pagination imbriquée sécurisée (-). SEV SNP

Chiffrement en transit

Chiffrement au niveau de la couche physique

Toutes les données circulent AWS Régions situées au-dessus du AWS le réseau mondial est automatiquement crypté au niveau de la couche physique avant son départ AWS installations sécurisées. Tout le trafic entre les deux AZs est crypté. Des couches supplémentaires de chiffrement, y compris celles présentées dans cette section, peuvent fournir des protections supplémentaires.

Chiffrement fourni par Amazon VPC Peering et Transit Gateway Cross-Region Peering

Tout le trafic interrégional qui utilise le peering Amazon et le VPC peering Transit Gateway est automatiquement chiffré en bloc lorsqu'il quitte une région. Une couche de chiffrement supplémentaire est automatiquement fournie au niveau de la couche physique pour tout le trafic avant son départ AWS installations sécurisées, comme indiqué précédemment dans cette section.

Chiffrement entre instances

AWS fournit une connectivité sécurisée et privée entre les EC2 instances de tous types. En outre, certains types d’instances utilisent les capacités de déchargement du matériel du système Nitro sous-jacent pour chiffrer automatiquement le trafic en transit entre instances. Ce chiffrement utilise des algorithmes de chiffrement authentifié avec données associées (AEAD), avec un cryptage de 256 bits. Il n’y a aucun impact sur les performances du réseau. Pour prendre en charge ce chiffrement supplémentaire du trafic en transit entre les instances, les exigences suivantes doivent être satisfaites :

  • Les instances utilisent les types d’instance suivants :

    • Usage général : M5dn, M5n, M5zn, M6a, M6i, M6id, M6idn, M6in, M7a, M7g, M7GD, M7i, M7i-Flex

    • Optimisé pour le calcul : C5a, C5ad, C5n, C6a, C6gn, C6i, C6id, C6in, C7a, C7g, C7gd, C7gn, C7i, C7i-Flex

    • Mémoire optimisée : R5dn, R5n, R6a, R6i, R6idn, R6in, R6id, R7a, R7g, R7gd, R7i, R7iz, R8g, U-3tb1, U-6tb1, U-7in-12TB1, U-24TB1, U7i-12TB, U7in-12TB 16 To, U7 en 24 To, U7 en 32 To, x2IDN, x2iEDN, x2ieZn, x8G

    • Stockage optimisé : D3, D3en, i3EN, i4G, i4i, iM4GN, IS4gen

    • Calcul accéléré :DL1, G4adDL2q, G4dn, G5, G6, G6e, Gr6, Inf1, Inf2, P3dn, P4d, P4de, P5, P5e, Trn1, Trn1n, VT1

    • Calcul à hautes performances : Hpc6a, Hpc6id, Hpc7a, Hpc7g

  • Les instances se trouvent dans la même région.

  • Les instances sont identiques VPC ou homologuesVPCs, et le trafic ne passe pas par un périphérique ou un service réseau virtuel, tel qu'un équilibreur de charge ou une passerelle de transit.

Une couche de chiffrement supplémentaire est automatiquement fournie au niveau de la couche physique pour tout le trafic avant son départ AWS installations sécurisées, comme indiqué précédemment dans cette section.

Pour afficher les types d'instances qui chiffrent le trafic en transit entre les instances à l'aide du AWS CLI

Utilisez la commande suivante de l' describe-instance-types.

aws ec2 describe-instance-types \
    --filters Name=network-info.encryption-in-transit-supported,Values=true \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort
Chiffrement depuis et vers AWS Outposts

Un avant-poste crée des connexions réseau spéciales, appelées liens de service, vers son AWS Région d'accueil et, éventuellement, connectivité privée à un VPC sous-réseau que vous spécifiez. Tout le trafic sur ces connexions est entièrement crypté. Pour plus d'informations, voir Connectivité via des liaisons de service et Chiffrement en transit dans le AWS Outposts Guide de l'utilisateur.

Chiffrement d’accès distant

Les RDP protocoles SSH and fournissent des canaux de communication sécurisés pour un accès à distance à vos instances, que ce soit directement ou via EC2 Instance Connect. Accès à distance à vos instances à l'aide de AWS Systems Manager Le gestionnaire de session ou la commande Run sont chiffrés à l'aide de la version TLS 1.2, et les demandes de création de connexion sont signées à l'aide de SigV4, authentifiées et autorisées par AWS Identity and Access Management.

Il est de votre responsabilité d'utiliser un protocole de chiffrement, tel que Transport Layer Security (TLS), pour chiffrer les données sensibles en transit entre les clients et vos EC2 instances Amazon.

(instances Windows) Assurez-vous de n'autoriser que les connexions chiffrées entre les EC2 instances et AWS APIpoints de terminaison ou autres services réseau distants sensibles. Vous pouvez mettre cela en œuvre via un groupe de sécurité sortant ou des règles du Pare-feu Windows.