Protection des données dans AWS Systems Manager - AWS Systems Manager
Chiffrement des donnéesConfidentialité du trafic inter-réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans AWS Systems Manager

La protection des données fait référence à la protection des données en transit (lors de leur trajet aller-retourSystems Manager) et au repos (lorsqu'elles sont stockées dans AWS des centres de données).

Le modèle de responsabilité AWS partagée de s'applique à la protection des données dansAWS Systems Manager. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-2 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez Federal Information Processing Standard (FIPS) 140-2 (Normes de traitement de l’information fédérale).

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec Systems Manager ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS des SDK. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Chiffrement des données

Chiffrement au repos

Parameter Store paramètres

Vous pouvez créer des paramètres du type String, StringList et SecureString dans Parameter Store, une fonctionnalité de AWS Systems Manager.

Pour chiffrer les valeurs des SecureString paramètres, Parameter Store utilise un AWS KMS key in AWS Key Management Service (AWS KMS). AWS KMS utilise soit une clé gérée par le client, soit un Clé gérée par AWS pour chiffrer la valeur du paramètre dans une base de données AWS gérée.

Important

Ne stockez pas de données sensibles dans un paramètre StringList ou String. Pour toutes les données sensibles qui doivent rester chiffrées, utilisez uniquement le type de paramètre SecureString.

Pour plus d'informations, consultez Qu'est-ce qu'un paramètre ? et Restriction de l'accès aux paramètres Systems Manager à l'aide des politiques IAM.

Contenu des compartiments S3

Dans le cadre de vos opérations Systems Manager, vous pouvez choisir de charger ou de stocker des données dans un ou plusieurs compartiments Amazon Simple Storage Service (Amazon S3).

Pour plus d'informations sur le chiffrement de compartiment S3, consultez Protection des données à l'aide du chiffrement et Protection des données dans Amazon S3 dans le Guide de l'utilisateur Amazon Simple Storage Service.

Voici les types de données que vous pouvez charger ou stocker dans les compartiments S3 dans le cadre de vos activités Systems Manager :

  • La sortie des commandes en entréeRun Command, une capacité de AWS Systems Manager

  • Emballé dansDistributor, une capacité de AWS Systems Manager

  • L'opération de correction permet de se connecterPatch Manager, une fonctionnalité de AWS Systems Manager

  • Listes de remplacement de correctifs Patch Manager

  • Scripts ou Ansible Playbooks à exécuter dans un flux de travail Runbook dans Automation, une fonctionnalité de AWS Systems Manager

  • Chef InSpecprofils à utiliser avec les scans dans Compliance, une fonctionnalité de AWS Systems Manager

  • AWS CloudTrail journaux

  • L'historique des sessions permet de se Session Manager connecter, une fonctionnalité de AWS Systems Manager

  • Des rapports provenant deExplorer, une capacité de AWS Systems Manager

  • OpsData à partir deOpsCenter, une capacité de AWS Systems Manager

  • AWS CloudFormation modèles à utiliser avec les flux de travail d'automatisation

  • Données de conformité issues d'une analyse de synchronisation de données de ressources

  • Sortie de demandes de création ou de modification d'une association dansState Manager, une fonctionnalité de AWS Systems Manager, sur des nœuds gérés

  • Documents Systems Manager (documents SSM) personnalisés, que vous pouvez exécuter en utilisant le document SSM AWS géré par AWS-RunDocument

CloudWatch Logs, journaux, groupes

Dans le cadre de vos Systems Manager opérations, vous pouvez choisir de diffuser des données vers un ou plusieurs groupes de CloudWatch journaux Amazon Logs.

Pour plus d'informations sur le chiffrement des groupes de CloudWatch journaux, consultez la section Chiffrer les données des CloudWatch journaux dans les journaux à l'aide AWS Key Management Service du guide de l'utilisateur Amazon CloudWatch Logs.

Les types de données que vous avez peut-être transmis à un groupe de CloudWatch journaux Logs dans le cadre de vos Systems Manager activités sont les suivants :

  • Sortie des commandes Run Command

  • Sortie des scripts exécutés à l'aide de l'action aws:executeScript dans un runbook Automation

  • Journaux d'historique de session Session Manager

  • Journaux provenant de l'SSM Agent sur vos nœuds gérés

Chiffrement en transit

Nous vous recommandons d'utiliser un protocole de chiffrement tel que Transport Layer Security (TLS) pour chiffrer les données sensibles en transit entre les clients et vos nœuds.

Systems Manager fournit la prise en charge suivante pour le chiffrement de vos données en transit.

Connexions aux points de terminaison d'API Systems Manager

Systems Manager Les points de terminaison d'API ne prennent en charge que des connexions sécurisées sur HTTPS. Lorsque vous gérez Systems Manager des ressources à l'aide du AWS Management Console AWS SDK ou de l'Systems ManagerAPI, toutes les communications sont cryptées avec le protocole TLS (Transport Layer Security). Pour obtenir la liste complète des points de terminaison d'API, veuillez consulter la rubrique Points de terminaison de Service AWS de la Référence générale d'Amazon Web Services.

Instances gérées

AWS fournit une connectivité sécurisée et privée entre les instances Amazon Elastic Compute Cloud (Amazon EC2). De plus, nous chiffrons automatiquement le trafic en transit entre les instances prises en charge dans le même Virtual Private Cloud (VPC) ou dans des VPC appairés à l'aide des algorithmes AEAD avec un chiffrement 256 bits. Cette fonction de chiffrement utilise les capacités de déchargement du matériel sous-jacent, sans impact sur la performance de réseau. Les instances prises en charge sont : C5n, G4, I3en, M5dn, M5n, P3dn, R5dn et R5n.

Sessions Session Manager

Par défaut, Session Manager utilise TLS 1.2 pour chiffrer les données de session transmises entre les machines locales des utilisateurs de votre compte et vos instances EC2. Vous pouvez également choisir de chiffrer davantage les données en transit à l'aide AWS KMS key d'un code créé dans AWS KMS. AWS KMS le chiffrement est disponible pour Standard_StreamInteractiveCommands, et les types de NonInteractiveCommands session.

Accès via Run Command

Par défaut, l'accès distant à vos nœuds via Run Command est chiffré à l'aide de TLS 1.2 et les demandes de création d'une connexion sont chiffrées à l'aide de SigV4.

Confidentialité du trafic inter-réseau

Vous pouvez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour créer des limites entre les ressources de vos nœuds gérés et contrôler le trafic entre ceux-ci, votre réseau sur site et Internet. Pour plus de détails, consultez Améliorer la sécurité des instances EC2 en utilisant des points de terminaison VPC pour Systems Manager.

Pour plus d'informations sur la sécurité Amazon Virtual Private Cloud, consultez Confidentialité du trafic inter-réseau dans Amazon VPC dans le Guide de l'utilisateur Amazon VPC.