Protection des données dans Amazon Macie

Le modèle de responsabilité AWS partagée s'applique à la protection des données dans Amazon Macie. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des AWS services que vous utilisez. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQ. Pour plus d'informations sur la protection des données en Europe, consultez le modèle de responsabilitéAWS partagée et le billet de GDPR blog sur le blog sur la AWS sécurité.

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

• Utilisez l'authentification multifactorielle (MFA) pour chaque compte.

• UtilisezSSL/TLSpour communiquer avec les AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

• Configuration API et journalisation de l'activité des utilisateurs avec AWS CloudTrail.

• Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent AWS services.

• Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

• Si vous avez besoin de FIPS 140 à 2 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-2.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec Macie ou une autre personne AWS services à l'aide de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.

Chiffrement au repos

Amazon Macie stocke vos données au repos en toute sécurité à l'aide de solutions de AWS chiffrement. Macie chiffre les données, telles que les résultats, à l'aide d'un Clé gérée par AWS from AWS Key Management Service ()AWS KMS.

Si vous désactivez Macie, il supprime définitivement toutes les ressources qu'il stocke ou gère pour vous, telles que les tâches de découverte de données sensibles, les identifiants de données personnalisés et les résultats.

Chiffrement en transit

Macie chiffre toutes les données en transit entre les deux. AWS services

Amazon Macie analyse les données d'Amazon S3 et exporte les résultats de découverte de données sensibles vers un compartiment S3. Une fois que Macie a obtenu les informations dont il a besoin à partir des objets S3, ils sont supprimés.

Macie accède à Amazon S3 à l'aide d'un VPC point de terminaison alimenté par. AWS PrivateLink Par conséquent, le trafic entre Macie et Amazon S3 reste sur le réseau Amazon et ne passe pas par l'Internet public. Pour plus d'informations, voir AWS PrivateLink.