Protection des données sur Amazon CloudFront - Amazon CloudFront

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données sur Amazon CloudFront

Le modèle de responsabilité AWS partagée de s'applique à la protection des données sur Amazon CloudFront. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQ. Pour plus d'informations sur la protection des données en Europe, consultez le modèle de responsabilitéAWS partagée et le billet de GDPR blog sur le blog sur la AWS sécurité.

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l'authentification multifactorielle (MFA) pour chaque compte.

  • UtilisezSSL/TLSpour communiquer avec les AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Configuration API et journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section Utilisation des CloudTrail sentiers dans le guide de AWS CloudTrail l'utilisateur.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela inclut lorsque vous travaillez avec CloudFront ou d'autres Services AWS utilisateurs de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.

Amazon CloudFront propose plusieurs options que vous pouvez utiliser pour sécuriser le contenu diffusé :

  • Configurez HTTPS les connexions.

  • Configurez le chiffrement au niveau du champ pour fournir une sécurité supplémentaire pour des données spécifiques pendant le transit.

  • Restreindre l'accès au contenu de manière à ce que seules des personnes spécifiques ou des personnes dans une zone spécifique puissent l'afficher.

Les rubriques suivantes expliquent les options plus en détail.

Chiffrement en transit

Pour chiffrer vos données pendant le transfert, vous configurez Amazon de manière CloudFront à ce que les utilisateurs demandent HTTPS vos fichiers, afin que les connexions soient cryptées lors des communications avec CloudFront les utilisateurs. Vous pouvez également configurer CloudFront pour HTTPS obtenir des fichiers depuis votre origine, afin que les connexions soient cryptées lorsque vous CloudFront communiquez avec votre origine.

Pour de plus amples informations, veuillez consulter Utilisez le protocole HTTPS avec CloudFront.

Le chiffrement au niveau du champ ajoute une couche de sécurité supplémentaire tout en vous HTTPS permettant de protéger des données spécifiques tout au long du traitement du système afin que seules certaines applications puissent les voir. En configurant le chiffrement au niveau du champ dans CloudFront, vous pouvez télécharger en toute sécurité les informations sensibles soumises par les utilisateurs sur vos serveurs Web. Les informations sensibles fournies par vos clients sont chiffrées en périphérie plus près de l'utilisateur. Elles restent chiffrées sur l'ensemble de la pile applicative, garantissant ainsi que seules les applications nécessitant les données (et disposant des informations d'identification pour les déchiffrer) puissent y accéder.

Pour de plus amples informations, veuillez consulter Utilisation du chiffrement au niveau du champ pour faciliter la protection des données sensibles.

Les CloudFront API points de terminaison cloudfront.amazonaws.com etcloudfront-fips.amazonaws.com, n'acceptent que le HTTPS trafic. Cela signifie que lorsque vous envoyez et recevez des informations à l'aide de CloudFront API, vos données, y compris les configurations de distribution, les politiques de cache et les politiques de demande d'origine, les groupes de clés et les clés publiques, ainsi que le code de fonction dans CloudFront Functions, sont toujours cryptées pendant le transfert. En outre, toutes les demandes envoyées aux CloudFront API points de terminaison sont signées avec des AWS informations d'identification et connectées. AWS CloudTrail

Le code de fonction et la configuration dans CloudFront Functions sont toujours chiffrés en transit lorsqu'ils sont copiés vers les points de présence situés en périphérie (POPs) et entre les autres emplacements de stockage utilisés par CloudFront.

Chiffrement au repos

Le code de fonction et la configuration dans CloudFront Functions sont toujours stockés dans un format crypté sur l'emplacement POPs périphérique et dans d'autres emplacements de stockage utilisés par CloudFront.

Restreindre l'accès au contenu

De nombreuses entreprises qui distribuent du contenu via Internet veulent limiter l'accès aux documents, données professionnelles, flux multimédias ou contenus destinés à un sous-ensemble d'utilisateurs. Pour diffuser ce contenu en toute sécurité à l'aide d'Amazon CloudFront, vous pouvez effectuer une ou plusieurs des opérations suivantes :

Utiliser des cookies signés URLs ou des cookies

Vous pouvez restreindre l'accès au contenu destiné à certains utilisateurs, par exemple les utilisateurs payants, en diffusant ce contenu privé à l' CloudFront aide de cookies signés ou signés. URLs Pour de plus amples informations, veuillez consulter Diffusez du contenu privé avec des cookies signés URLs et signés.

Restriction de l'accès au contenu dans les compartiments Amazon S3

Si vous limitez l'accès à votre contenu en utilisant, par exemple, des cookies CloudFront signés URLs ou signés, vous ne voudrez pas non plus que les utilisateurs puissent consulter les fichiers en utilisant le lien direct URL pour le fichier. Au lieu de cela, vous souhaitez qu'ils accèdent aux fichiers uniquement en utilisant le CloudFront URL, afin que vos protections fonctionnent.

Si vous utilisez un compartiment Amazon S3 comme origine pour une CloudFront distribution, vous pouvez configurer un contrôle d'accès à l'origine (OAC) qui permet de restreindre l'accès au compartiment S3. Pour de plus amples informations, veuillez consulter Restreindre l'accès à une origine Amazon Simple Storage Service.

Restreindre l'accès au contenu diffusé par un Application Load Balancer

Lorsque vous utilisez CloudFront un Application Load Balancer dans Elastic Load Balancing comme origine, vous pouvez le configurer CloudFront pour empêcher les utilisateurs d'accéder directement à l'Application Load Balancer. Cela permet aux utilisateurs d'accéder à l'Application Load Balancer uniquement par le biais de celui-ci CloudFront, ce qui vous permet de bénéficier des avantages de son utilisation. CloudFront Pour de plus amples informations, veuillez consulter Restreindre l'accès aux équilibreurs de charge des applications.

Utiliser AWS WAF le Web ACLs

Vous pouvez utiliser AWS WAF un service de pare-feu d'applications Web pour créer une liste de contrôle d'accès Web (WebACL) afin de restreindre l'accès à votre contenu. En fonction des conditions que vous spécifiez, telles que les adresses IP d'où proviennent les demandes ou les valeurs des chaînes de requête, CloudFront répond aux demandes soit avec le contenu demandé, soit avec un code d'état HTTP 403 (interdit). Pour de plus amples informations, veuillez consulter Utilisez des AWS WAF protections.

Utiliser une restriction géographique

Vous pouvez utiliser la restriction géographique, également appelée géoblocage, pour empêcher les utilisateurs situés dans des zones géographiques spécifiques d'accéder au contenu que vous diffusez par le biais d'une distribution. CloudFront Il existe plusieurs options au choix lorsque vous configurez des restrictions géographiques. Pour de plus amples informations, veuillez consulter Limitez la distribution géographique de votre contenu.