Protection des données sur Amazon CloudFront - Amazon CloudFront

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données sur Amazon CloudFront

Le modèle de responsabilité AWS partagée de s'applique à la protection des données sur Amazon CloudFront. Comme décrit dans ce modèle, AWS est responsable de la protection de l’infrastructure globale sur laquelle l’ensemble du AWS Cloud s’exécute. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour en savoir plus sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWSet RGPD (Règlement général sur la protection des données) sur le AWSBlog de sécurité.

À des fins de protection des données, nous vous recommandons de protéger les informations d’identification Compte AWS et de configurer les comptes utilisateur individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • Utilisez les certificats SSL/TLS pour communiquer avec les ressources AWS. Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Configurez une API (Interface de programmation) et le journal de l’activité des utilisateurs avec AWS CloudTrail.

  • Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés FIPS (Federal Information Processing Standard) 140-2 lorsque vous accédez à AWS via une CLI (Interface de ligne de commande) ou une API (Interface de programmation), utilisez un point de terminaison FIPS (Federal Information Processing Standard). Pour en savoir plus sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez Federal Information Processing Standard (FIPS) 140-2 (Normes de traitement de l’information fédérale).

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec CloudFront ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS des SDK. AWS CLI Toutes les données que vous saisissez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Amazon CloudFront propose plusieurs options que vous pouvez utiliser pour sécuriser le contenu diffusé :

  • Configurer les connexions HTTPS.

  • Configurez le chiffrement au niveau du champ pour fournir une sécurité supplémentaire pour des données spécifiques pendant le transit.

  • Restreindre l'accès au contenu de manière à ce que seules des personnes spécifiques ou des personnes dans une zone spécifique puissent l'afficher.

Les rubriques suivantes expliquent les options plus en détail.

Chiffrement en transit

Pour chiffrer vos données pendant le transfert, vous configurez Amazon de manière CloudFront à ce que les visiteurs utilisent le protocole HTTPS pour demander vos fichiers, afin que les connexions soient cryptées lors des communications CloudFront avec les utilisateurs. Vous pouvez également configurer CloudFront l'utilisation du protocole HTTPS pour obtenir des fichiers depuis votre origine, afin que les connexions soient cryptées lorsque CloudFront vous communiquez avec votre origine.

Pour de plus amples informations, veuillez consulter Utilisation du protocole HTTPS avec CloudFront.

Le chiffrement au niveau du champ ajoute une couche de sécurité avec HTTPS, qui vous permet de protéger des données spécifiques tout au long du traitement du système, pour que seules certaines applications puissent les voir. En configurant le chiffrement au niveau du champ dans CloudFront, vous pouvez télécharger en toute sécurité les informations sensibles soumises par les utilisateurs sur vos serveurs Web. Les informations sensibles fournies par vos clients sont chiffrées en périphérie plus près de l'utilisateur. Elles restent chiffrées sur l'ensemble de la pile applicative, garantissant ainsi que seules les applications nécessitant les données (et disposant des informations d'identification pour les déchiffrer) puissent y accéder.

Pour de plus amples informations, veuillez consulter Utilisation du chiffrement au niveau du champ pour protéger les données sensibles.

Les points de terminaison de l' CloudFront API cloudfront.amazonaws.com etcloudfront-fips.amazonaws.com, n'acceptent que le trafic HTTPS. Cela signifie que lorsque vous envoyez et recevez des informations à l'aide de l' CloudFront API, vos données, y compris les configurations de distribution, les politiques de cache et les politiques de demande d'origine, les groupes de clés et les clés publiques, ainsi que le code de fonction dans CloudFront Functions, sont toujours cryptées pendant le transfert. En outre, toutes les demandes envoyées aux points de terminaison de l' CloudFront API sont signées avec des AWS informations d'identification et connectées. AWS CloudTrail

Le code de fonction et la configuration dans CloudFront Functions sont toujours chiffrés en transit lorsqu'ils sont copiés vers les points de présence périphériques (POP) et entre les autres emplacements de stockage utilisés par CloudFront.

Chiffrement au repos

Le code de fonction et la configuration dans CloudFront Functions sont toujours stockés dans un format crypté sur les POPs de l'emplacement périphérique et dans les autres emplacements de stockage utilisés par CloudFront.

Restreindre l'accès au contenu

De nombreuses entreprises qui distribuent du contenu via Internet veulent limiter l'accès aux documents, données professionnelles, flux multimédias ou contenus destinés à un sous-ensemble d'utilisateurs. Pour diffuser ce contenu en toute sécurité à l'aide d'Amazon CloudFront, vous pouvez effectuer une ou plusieurs des opérations suivantes :

Utiliser des cookies ou des URL signés

Vous pouvez restreindre l'accès au contenu destiné à des utilisateurs sélectionnés, par exemple des utilisateurs payants, en diffusant ce contenu privé à l' CloudFront aide d'URL signées ou de cookies signés. Pour de plus amples informations, veuillez consulter Offre de contenu privé avec des URL et des cookies signés.

Restriction de l'accès au contenu dans les compartiments Amazon S3

Si vous limitez l'accès à votre contenu en utilisant, par exemple, des URL CloudFront signées ou des cookies signés, vous ne voudrez pas non plus que les utilisateurs puissent consulter les fichiers en utilisant l'URL directe du fichier. Au lieu de cela, vous souhaitez qu'ils accèdent aux fichiers uniquement en utilisant l'URL CloudFront , afin que vos protections fonctionnent.

Si vous utilisez un compartiment Amazon S3 comme origine pour une CloudFront distribution, vous pouvez configurer un contrôle d'accès à l'origine (OAC) qui permet de restreindre l'accès au compartiment S3. Pour de plus amples informations, veuillez consulter Restriction de l’accès à l'origine Amazon S3.

Restreindre l'accès au contenu diffusé par un Application Load Balancer

Lorsque vous utilisez CloudFront un Application Load Balancer dans Elastic Load Balancing comme origine, vous pouvez le configurer CloudFront pour empêcher les utilisateurs d'accéder directement à l'Application Load Balancer. Cela permet aux utilisateurs d'accéder à l'Application Load Balancer uniquement par le biais de celui-ci CloudFront, ce qui vous permet de bénéficier des avantages de son utilisation. CloudFront Pour de plus amples informations, veuillez consulter Restriction de l'accès aux Application Load Balancers.

Utiliser des listes ACL web AWS WAF

Vous pouvez utiliser AWS WAF, un service de pare-feu d'application web, pour créer une liste de contrôle d'accès web (liste ACL web) afin de restreindre l'accès à votre contenu. En fonction des conditions que vous spécifiez, telles que les adresses IP d'où proviennent les demandes ou les valeurs des chaînes de requête, CloudFront répond aux demandes soit avec le contenu demandé, soit avec un code d'état HTTP 403 (interdit). Pour de plus amples informations, veuillez consulter Utilisation de protections AWS WAF.

Utiliser une restriction géographique

Vous pouvez utiliser une restriction géographique, également appelée blocage géographique, pour empêcher les utilisateurs situés à des emplacements géographiques spécifiques d'accéder au contenu que vous desservez via une distribution CloudFront. Il existe plusieurs options au choix lorsque vous configurez des restrictions géographiques. Pour de plus amples informations, veuillez consulter Restriction de la distribution géographique de votre contenu.