Suppression des données d’Audit Manager Chiffrement au repos Chiffrement en transit Gestion des clés

Protection des données dans AWS Audit Manager

Le modèle de responsabilité AWS partagée de s'applique à la protection des données dans AWS Audit Manager. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQ. Pour plus d'informations sur la protection des données en Europe, consultez le modèle de responsabilitéAWS partagée et le billet de GDPR blog sur le blog sur la AWS sécurité.

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

Utilisez l'authentification multifactorielle (MFA) pour chaque compte.
UtilisezSSL/TLSpour communiquer avec les AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.
Configuration API et journalisation de l'activité des utilisateurs avec AWS CloudTrail.
Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
Si vous avez besoin de FIPS 140 à 2 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-2.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec Audit Manager ou autre Services AWS à l'aide de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas y inclure d'informations d'identification URL pour valider votre demande auprès de ce serveur.

Outre la recommandation ci-dessus, nous recommandons spécifiquement aux clients d’Audit Manager de ne pas inclure d’informations d’identification sensibles dans les champs au format de texte libre lors de la création d’évaluations, de contrôles personnalisés, de cadres personnalisés et de commentaires de délégation.

Suppression des données d’Audit Manager

Les données d’Audit Manager peuvent être supprimées de plusieurs manières.

Suppression des données lors de la désactivation d’Audit Manager

Lorsque vous désactivez Audit Manager, vous pouvez décider si vous souhaitez supprimer toutes vos données d’Audit Manager. Si vous choisissez de supprimer vos données, elles seront supprimées dans les 7 jours suivant la désactivation d’Audit Manager. Une fois vos données supprimées, vous ne pouvez pas les récupérer.

Suppression automatique des données

Certaines données d’Audit Manager sont supprimées automatiquement après un certain temps. Audit Manager conserve les données des clients comme suit.

Type de données	Période de conservation des données	Remarques
Éléments probants	Les données sont conservées pendant 2 ans à partir de leur création	Cela comprend les éléments probants automatisés et manuels
Ressources créées par le client	Les données sont conservées indéfiniment	Cela comprend les évaluations, les rapports d’évaluation, les contrôles personnalisés et les frameworks personnalisés

Suppression manuelle des données

Vous pouvez supprimer des ressources d’Audit Manager à tout moment. Pour obtenir des instructions, veuillez consulter les sections suivantes :

Supprimer une évaluation dans AWS Audit Manager
- Voir également : DeleteAssessmentdans la AWS Audit Manager APIréférence
Suppression d'un framework personnalisé dans AWS Audit Manager
- Voir également : DeleteAssessmentFrameworkdans la AWS Audit Manager APIréférence
Supprimer des demandes de partage dans AWS Audit Manager
- Voir également : DeleteAssessmentFrameworkSharedans la AWS Audit Manager APIréférence
Suppression d’un rapport d’évaluation
- Voir également : DeleteAssessmentReportdans la AWS Audit Manager APIréférence
Suppression d'un contrôle personnalisé dans AWS Audit Manager
- Voir également : DeleteControldans la AWS Audit Manager APIréférence

Pour supprimer d’autres éventuelles données de ressources créées lors de votre utilisation d’Audit Manager, consultez ce qui suit :

Supprimer un entrepôt de données d’événements dans le Guide de l’utilisateur AWS CloudTrail
Suppression d’un compartiment dans le Guide de l’utilisateur d’Amazon Simple Storage Service (Amazon S3).

Chiffrement au repos

Pour chiffrer les données au repos, Audit Manager utilise le chiffrement côté serveur Clés gérées par AWS pour tous ses magasins de données et ses journaux.

Vos données sont cryptées sous une clé gérée par le client ou un Clé détenue par AWS, selon les paramètres que vous avez sélectionnés. Si vous ne fournissez pas de clé gérée par le client, Audit Manager utilise un Clé détenue par AWS pour chiffrer votre contenu. Toutes les métadonnées de service dans DynamoDB et Amazon S3 dans Audit Manager sont chiffrées à l’aide d’une Clé détenue par AWS.

Audit Manager chiffre les données comme suit :

Les métadonnées de service stockées dans Amazon S3 sont cryptées à Clé détenue par AWS l'aide d'un SSE -KMS.
Les métadonnées de service stockées dans DynamoDB sont chiffrées KMS côté serveur à l'aide d'un. Clé détenue par AWS
Votre contenu stocké dans DynamoDB est chiffré côté client à l’aide d’une clé gérée par le client ou d’une Clé détenue par AWS. La KMS clé dépend des paramètres que vous avez choisis.
Votre contenu stocké dans Amazon S3 dans Audit Manager est chiffré à l'aide de SSE -KMS. La KMS clé est basée sur votre sélection et peut être une clé gérée par le client ou une Clé détenue par AWS.
Les rapports d’évaluation publiés dans votre compartiment S3 sont chiffrés comme suit :
- Si vous avez fourni une clé gérée par le client, vos données sont cryptées à l'aide de SSE -KMS.
- Si vous avez utilisé le Clé détenue par AWS, vos données sont cryptées à l'aide de SSE -S3.

Chiffrement en transit

Audit Manager fournit des points de terminaison sécurisés et privés pour le chiffrement des données en transit. Les points de terminaison sécurisés et privés permettent AWS de protéger l'intégrité des API demandes adressées à Audit Manager.

Transit interservices

Par défaut, toutes les communications interservices sont protégées à l'aide du chiffrement Transport Layer Security (TLS).

Gestion des clés

Audit Manager prend en charge à la fois Clés détenues par AWS les clés gérées par le client pour chiffrer toutes les ressources d'Audit Manager (évaluations, contrôles, cadres, preuves et rapports d'évaluation enregistrés dans les compartiments S3 de vos comptes).

Nous vous recommandons d’utiliser une clé gérée par le client. Ce faisant, vous pouvez consulter et gérer les clés de chiffrement qui protègent vos données, y compris les journaux concernant leur utilisation dans AWS CloudTrail. Lorsque vous choisissez une clé gérée par le client, Audit Manager crée une autorisation sur la KMS clé afin qu'elle puisse être utilisée pour chiffrer votre contenu.

Avertissement

Après avoir supprimé ou désactivé une KMS clé utilisée pour chiffrer les ressources d'Audit Manager, vous ne pouvez plus déchiffrer la ressource chiffrée sous cette KMS clé, ce qui signifie que les données deviennent irrécupérables.

La suppression d'une KMS clé dans AWS Key Management Service (AWS KMS) est destructrice et potentiellement dangereuse. Pour plus d'informations sur la suppression de KMS clés, consultez la section Suppression AWS KMS keys du guide de AWS Key Management Service l'utilisateur.

Vous pouvez définir vos paramètres de chiffrement lorsque vous activez Audit Manager à l'aide du AWS Management Console, du Gestionnaire API d'audit ou du AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, veuillez consulter Activant AWS Audit Manager.

Vous pouvez consulter et modifier vos paramètres de chiffrement à tout moment. Pour obtenir des instructions, veuillez consulter Configuration des paramètres de chiffrement des données.

Pour plus d’informations sur la configuration des clés gérées par le client, consultez la section Création de clés du guide de l’utilisateur AWS Key Management Service .

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Sécurité

Gestion des identités et des accès