Protection des données dans Amazon Cognito - Amazon Cognito

Protection des données dans Amazon Cognito

Le modèle de responsabilité partagée AWS s'applique à la protection des données dans Amazon Cognito. Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructure globale sur laquelle l'ensemble du cloud AWS s'exécute. La gestion du contrôle de votre contenu hébergé sur cette infrastructure est de votre responsabilité. Ce contenu comprend les tâches de configuration et de gestion de la sécurité des services AWS que vous utilisez. Pour plus d'informations sur la confidentialité des données, consultez les FAQ sur la confidentialité des données.

À des fins de protection des données, nous vous recommandons de protéger les autorisations du compte AWS et de configurer les comptes d'utilisateur individuels avec AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l'authentification multi-facteur (MFA) avec chaque compte.

  • Utilisez SSL/TLS pour communiquer avec les ressources AWS.

  • Configurez une API et la journalisation des activités utilisateur avec AWS CloudTrail.

  • Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu'Amazon Macie, qui contribuent à la découverte et à la sécurisation des données personnelles stockées dans Amazon S3.

Nous vous recommandons vivement de ne jamais placer d'informations identifiables sensibles, telles que les numéros de compte de vos clients, dans des champs de formulaire comme Nom. Cela s'applique également lorsque vous utilisez Amazon Cognito ou d'autres services AWS à l'aide de la console, de la AWS CLI ou de kits SDK AWS. Toutes les données que vous saisissez dans Amazon Cognito ou d'autres services peuvent être récupérées, afin d'être insérées dans des journaux de diagnostic. Lorsque vous fournissez une URL à un serveur externe, n'incluez pas les informations d'identification non chiffrées dans l'URL pour valider votre demande adressée au serveur.

Chiffrement des données

Le chiffrement des données se divise généralement en deux catégories : le chiffrement au repos et le chiffrement en transit.

Chiffrement au repos

Les données au sein d'Amazon Cognito sont chiffrées au repos conformément aux normes du secteur.

Chiffrement en transit

Toutes les demandes adressées à Amazon Cognito doivent être effectuées via le protocole TLS (Transport Layer Security). Les clients doivent supporter le protocole TLS (Sécurité de la couche transport) 1.0 ou une version ultérieure. Nous recommandons TLS 1.2 ou version ultérieure. Les clients doivent aussi prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

Note

Amazon Cognito chiffre le contenu client en interne et ne prend pas en charge les clés fournies par le client.