Protection des données sur Amazon CloudFront - Amazon CloudFront
Chiffrement en transitChiffrement au reposRestreindre l'accès au contenu

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données sur Amazon CloudFront

Le modèle de responsabilité AWS partagée de s'applique à la protection des données sur Amazon CloudFront. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-2 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez Federal Information Processing Standard (FIPS) 140-2 (Normes de traitement de l’information fédérale).

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec CloudFront ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS des SDK. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Amazon CloudFront propose plusieurs options que vous pouvez utiliser pour sécuriser le contenu diffusé :

  • Configurer les connexions HTTPS.

  • Configurez le chiffrement au niveau du champ pour fournir une sécurité supplémentaire pour des données spécifiques pendant le transit.

  • Restreindre l'accès au contenu de manière à ce que seules des personnes spécifiques ou des personnes dans une zone spécifique puissent l'afficher.

Les rubriques suivantes expliquent les options plus en détail.

Chiffrement en transit

Pour chiffrer vos données pendant le transfert, vous configurez Amazon de manière CloudFront à ce que les visiteurs utilisent le protocole HTTPS pour demander vos fichiers, afin que les connexions soient cryptées lors des communications CloudFront avec les utilisateurs. Vous pouvez également configurer CloudFront l'utilisation du protocole HTTPS pour obtenir des fichiers depuis votre origine, afin que les connexions soient cryptées lorsque CloudFront vous communiquez avec votre origine.

Pour plus d’informations, consultez Utilisez le protocole HTTPS avec CloudFront.

Le chiffrement au niveau du champ ajoute une couche de sécurité avec HTTPS, qui vous permet de protéger des données spécifiques tout au long du traitement du système, pour que seules certaines applications puissent les voir. En configurant le chiffrement au niveau du champ dans CloudFront, vous pouvez télécharger en toute sécurité les informations sensibles soumises par les utilisateurs sur vos serveurs Web. Les informations sensibles fournies par vos clients sont chiffrées en périphérie plus près de l'utilisateur. Elles restent chiffrées sur l'ensemble de la pile applicative, garantissant ainsi que seules les applications nécessitant les données (et disposant des informations d'identification pour les déchiffrer) puissent y accéder.

Pour plus d’informations, consultez Utilisation du chiffrement au niveau du champ pour faciliter la protection des données sensibles.

Les points de terminaison de l' CloudFront API cloudfront.amazonaws.com etcloudfront-fips.amazonaws.com, n'acceptent que le trafic HTTPS. Cela signifie que lorsque vous envoyez et recevez des informations à l'aide de l' CloudFront API, vos données, y compris les configurations de distribution, les politiques de cache et les politiques de demande d'origine, les groupes de clés et les clés publiques, ainsi que le code de fonction dans CloudFront Functions, sont toujours cryptées pendant le transfert. En outre, toutes les demandes envoyées aux points de terminaison de l' CloudFront API sont signées avec des AWS informations d'identification et connectées. AWS CloudTrail

Le code de fonction et la configuration dans CloudFront Functions sont toujours chiffrés en transit lorsqu'ils sont copiés vers les points de présence périphériques (POP) et entre les autres emplacements de stockage utilisés par CloudFront.

Chiffrement au repos

Le code de fonction et la configuration dans CloudFront Functions sont toujours stockés dans un format crypté sur les POPs de l'emplacement périphérique et dans les autres emplacements de stockage utilisés par CloudFront.

Restreindre l'accès au contenu

De nombreuses entreprises qui distribuent du contenu via Internet veulent limiter l'accès aux documents, données professionnelles, flux multimédias ou contenus destinés à un sous-ensemble d'utilisateurs. Pour diffuser ce contenu en toute sécurité à l'aide d'Amazon CloudFront, vous pouvez effectuer une ou plusieurs des opérations suivantes :

Utiliser des cookies ou des URL signés

Vous pouvez restreindre l'accès au contenu destiné à des utilisateurs sélectionnés, par exemple des utilisateurs payants, en diffusant ce contenu privé à l' CloudFront aide d'URL signées ou de cookies signés. Pour plus d’informations, consultez Diffusez du contenu privé avec des URL signées et des cookies signés.

Restriction de l'accès au contenu dans les compartiments Amazon S3

Si vous limitez l'accès à votre contenu en utilisant, par exemple, des URL CloudFront signées ou des cookies signés, vous ne voudrez pas non plus que les utilisateurs puissent consulter les fichiers en utilisant l'URL directe du fichier. Vous souhaitez plutôt qu'ils accèdent aux fichiers uniquement à l'aide de l'CloudFront URL, afin que vos protections fonctionnent.

Si vous utilisez un compartiment Amazon S3 comme origine pour une CloudFront distribution, vous pouvez configurer un contrôle d'accès à l'origine (OAC) qui permet de restreindre l'accès au compartiment S3. Pour plus d’informations, consultez Restreindre l'accès à une origine Amazon Simple Storage Service.

Restreindre l'accès au contenu diffusé par un Application Load Balancer

Lorsque vous utilisez CloudFront un Application Load Balancer dans Elastic Load Balancing comme origine, vous pouvez le configurer CloudFront pour empêcher les utilisateurs d'accéder directement à l'Application Load Balancer. Cela permet aux utilisateurs d'accéder à l'Application Load Balancer uniquement par le biais de celui-ci CloudFront, ce qui vous permet de bénéficier des avantages de son utilisation. CloudFront Pour plus d’informations, consultez Restreindre l'accès aux équilibreurs de charge des applications.

Utiliser des AWS WAF ACL Web

Vous pouvez utiliser AWS WAF un service de pare-feu d'applications Web pour créer une liste de contrôle d'accès Web (ACL Web) afin de restreindre l'accès à votre contenu. En fonction des conditions que vous spécifiez, telles que les adresses IP d'où proviennent les demandes ou les valeurs des chaînes de requête, CloudFront répond aux demandes soit avec le contenu demandé, soit avec un code d'état HTTP 403 (interdit). Pour plus d’informations, consultez Utilisez des AWS WAF protections.

Utiliser une restriction géographique

Vous pouvez utiliser la restriction géographique, également appelée géoblocage, pour empêcher les utilisateurs situés dans des zones géographiques spécifiques d'accéder au contenu que vous diffusez par le biais d'une distribution. CloudFront Il existe plusieurs options au choix lorsque vous configurez des restrictions géographiques. Pour de plus amples informations, veuillez consulter Limitez la distribution géographique de votre contenu.