Protection des données dans AWS AppFabric - AWS AppFabric
Chiffrement au reposChiffrement en transitGestion des clésStratégie de cléComment AppFabric utilise les subventions dans AWS KMSSurveillance de vos clés de chiffrement pour AppFabric

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans AWS AppFabric

Le modèle de responsabilité AWS partagée de s'applique à la protection des données dans AWS AppFabric. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-2 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez Federal Information Processing Standard (FIPS) 140-2 (Normes de traitement de l’information fédérale).

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec AppFabric ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS des SDK. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Note

Pour plus d'informations sur la protection des données appliquée AppFabric à la sécurité, consultezTraitement des données.

Chiffrement au repos

AWS AppFabric prend en charge le chiffrement au repos, une fonctionnalité de chiffrement côté serveur qui chiffre de AppFabric manière transparente toutes les données relatives à vos ensembles d'applications lorsqu'elles sont conservées sur le disque, et les déchiffre lorsque vous accédez aux données. Par défaut, AppFabric chiffre vos données à l'aide d'un Clé détenue par AWS from AWS Key Management Service (AWS KMS). Vous pouvez également choisir de chiffrer vos données à l'aide de votre propre clé gérée par le client à partir de AWS KMS.

Lorsque vous supprimez un ensemble d'applications, toutes ses métadonnées sont définitivement supprimées.

Chiffrement en transit

Lorsque vous configurez un ensemble d'applications, vous pouvez choisir une clé gérée par le client Clé détenue par AWS ou une clé gérée par le client. Lors de la collecte et de la normalisation des données pour l'ingestion d'un journal d'audit, AppFabric les données sont stockées temporairement dans un compartiment Amazon Simple Storage Service (Amazon S3) intermédiaire et les chiffre à l'aide de cette clé. Ce compartiment intermédiaire est supprimé au bout de 30 jours, conformément à une politique de cycle de vie du compartiment.

AppFabric sécurise toutes les données en transit à l'aide du protocole TLS 1.2 et signe les demandes d'API Services AWS avec AWS Signature V4.

Gestion des clés

AppFabric prend en charge le chiffrement des données à l'aide d'une clé Clé détenue par AWS ou d'une clé gérée par le client. Nous vous recommandons d'utiliser une clé gérée par le client, car elle vous permet de contrôler totalement vos données chiffrées. Lorsque vous choisissez une clé gérée par le client, vous AppFabric associez une politique de ressources à la clé gérée par le client qui lui donne accès à la clé gérée par le client.

Clé gérée par le client

Pour créer une clé gérée par le client, suivez les étapes de création de clés KMS de chiffrement symétriques dans le guide du AWS KMS développeur.

Stratégie de clé

Les politiques clés contrôlent l'accès aux clés gérées par vos clients. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations sur la création d'une stratégie clé, consultez la section Création d'une politique clé dans le Guide du AWS KMS développeur.

Pour utiliser une clé gérée par le client AppFabric, l'utilisateur ou le rôle AWS Identity and Access Management (IAM) qui crée vos AppFabric ressources doit être autorisé à utiliser votre clé gérée par le client. Nous vous recommandons de créer une clé que vous utiliserez uniquement avec AppFabric et d'ajouter vos AppFabric utilisateurs en tant qu'utilisateurs de la clé. Cette approche limite l'étendue de l'accès à vos données. Les autorisations dont vos utilisateurs ont besoin sont les suivantes :

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:Decrypt

La AWS KMS console vous guide tout au long de la création d'une clé avec la politique de clé appropriée. Pour plus d'informations sur les politiques clés, consultez la section Politiques clés du Guide du AWS KMS développeur. AWS KMS

Voici un exemple de politique clé qui permet :

  • Le contrôle Utilisateur racine d'un compte AWS total de la clé.

  • Utilisateurs autorisés AppFabric à utiliser votre clé gérée par le client avec AppFabric.

  • Une politique clé pour la configuration d'un bundle d'applications dansus-east-1.

{
    "Id": "key-consolepolicy-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow access for key administrators",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
            "Action": ["kms:*"],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key_ID"
        },
        {
            "Sid": "Allow read-only access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow access to principals authorized to use AWS AppFabric",
            "Effect": "Allow",
            "Principal": {"AWS": "IAM-role/user-creating-appfabric-resources"},
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListAliases"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "appfabric.us-east-1.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        }
    ]
}

Comment AppFabric utilise les subventions dans AWS KMS

AppFabric nécessite une autorisation pour utiliser votre clé gérée par le client. Pour plus d'informations, consultez la section Subventions AWS KMS dans le guide du AWS KMS développeur.

Lorsque vous créez un bundle d'applications, AppFabric crée une subvention en votre nom en envoyant une CreateGrant demande à AWS KMS. Les subventions AWS KMS sont utilisées pour donner AppFabric accès à une AWS KMS clé dans un compte client. AppFabric exige que l'autorisation utilise votre clé gérée par le client pour les opérations internes suivantes :

  • Envoyez GenerateDataKey des demandes AWS KMS à pour générer des clés de données chiffrées par votre clé gérée par le client.

  • Envoyez Decrypt des demandes AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données et pour déchiffrer les jetons d'accès aux applications en transit.

  • Envoyez Encrypt des demandes à AWS KMS pour chiffrer les jetons d'accès aux applications en transit.

Voici un exemple de subvention.

{
  "KeyId": "arn:aws:kms:us-east-1:111122223333:key/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "GrantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
  "Name": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "CreationDate": "2022-10-11T20:35:39+00:00",
  "GranteePrincipal": "appfabric.us-east-1.amazonaws.com",
  "RetiringPrincipal": "appfabric.us-east-1.amazonaws.com",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "Operations": [
    "Decrypt",
    "Encrypt",
    "GenerateDataKey"
  ],
  "Constraints": {
    "EncryptionContextSubset": {
      "appBundleArn": "arn:aws:fabric:us-east-1:111122223333:appbundle/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
    }
  }
},

Lorsque vous supprimez un bundle d'applications, les AppFabric subventions accordées sont supprimées sur votre clé gérée par le client.

Surveillance de vos clés de chiffrement pour AppFabric

Lorsque vous utilisez des clés gérées par le AWS KMS client avec AppFabric, vous pouvez utiliser AWS CloudTrail les journaux pour suivre les demandes AppFabric envoyées à AWS KMS.

Voici un exemple d' CloudTrail événement enregistré lors de l' AppFabric utilisation CreateGrant de votre clé gérée par le client.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser",
        "arn": "arn:aws:sts::111122223333:assumed-role/AssumedRole/SampleUser",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/AssumedRole",
                "accountId": "111122223333",
                "userName": "SampleUser"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-04-28T14:01:33Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-04-28T14:05:48Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "appfabric.amazonaws.com",
    "userAgent": "appfabric.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "appfabric.us-east-1.amazonaws.com",
        "constraints": {
            "encryptionContextSubset": {
                "appBundleArn": "arn:aws:appfabric:us-east-1:111122223333:appbundle/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
            }
        },
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLEID",
        "retiringPrincipal": "appfabric.us-east-1.amazonaws.com",
        "operations": [
            "Encrypt",
            "Decrypt",
            "GenerateDataKey"
        ]
    },
    "responseElements": {
        "grantId": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/KEY_ID"
    },
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/key_ID"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_256_GCM_SHA384",
        "clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
    }
}