Protection des données dans Amazon Cognito - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Amazon Cognito

Le modèle de responsabilité AWS partagée Le modèle s'applique à la protection des données dans Amazon Cognito (Amazon Cognito). Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructure mondiale qui gère l'ensemble du AWS cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Ce contenu inclut la configuration de la sécurité et les tâches de gestion pour les AWS services que vous utilisez. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQ.

Pour des raisons de protection des données, nous vous recommandons de protéger les informations d'identification des AWS comptes et de configurer des comptes utilisateur individuels avec AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l'authentification multifactorielle (MFA) pour chaque compte.

  • UtilisezSSL/TLSpour communiquer avec les AWS ressources.

  • Configuration API et journalisation de l'activité des utilisateurs avec AWS CloudTrail.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut au sein AWS des services.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données personnelles stockées dans Amazon S3.

Nous vous recommandons vivement de ne jamais placer d’informations identifiables sensibles, telles que les numéros de compte de vos clients, dans des champs de formulaire comme Nom. Cela inclut lorsque vous travaillez avec Amazon Cognito ou d'autres AWS services à l'aide de la console, API AWS CLI, ou. AWS SDKs Toutes les données que vous saisissez dans Amazon Cognito ou d’autres services peuvent être récupérées, afin d’être insérées dans des journaux de diagnostic. Lorsque vous fournissez un URL à un serveur externe, n'incluez pas d'informations d'identification dans le URL pour valider votre demande auprès de ce serveur.

Chiffrement des données

Le chiffrement des données se divise généralement en deux catégories : le chiffrement au repos et le chiffrement en transit.

Chiffrement au repos

Les données au sein d’Amazon Cognito sont chiffrées au repos conformément aux normes du secteur.

Chiffrement en transit

En tant que service géré, Amazon Cognito est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez les API appels AWS publiés pour accéder à Amazon Cognito via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Sécurité de la couche de transport (TLS). Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Des suites de chiffrement parfaitement confidentielles (PFS) telles que (Ephemeral Diffie-Hellman) ou DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un IAM principal. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.

Les groupes d'utilisateurs et les groupes d'identités Amazon Cognito utilisent des opérations authentifiées, non IAM authentifiées et autorisées par des jetons. API Les API opérations non authentifiées et autorisées par des jetons sont destinées à être utilisées par vos clients, les utilisateurs finaux de votre application. Les API opérations non authentifiées et autorisées par des jetons sont cryptées au repos et en transit. Pour de plus amples informations, veuillez consulter Groupes d'utilisateurs Amazon Cognito, opérations authentifiées et non authentifiées API.

Note

Amazon Cognito chiffre le votre contenu en interne et ne prend pas en charge les clés fournies par le client.