Protection et chiffrement des données - AWS Transfer Family
Chiffrement des données dans Transfer FamilyChiffrement au repos

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection et chiffrement des données

Le modèle de responsabilité AWS partagée s'applique à la protection des données dans AWS Transfer Family (Transfer Family). Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructure mondiale qui gère l'ensemble du AWS cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Ce contenu inclut la configuration de la sécurité et les tâches de gestion pour les AWS services que vous utilisez. Pour plus d'informations sur la confidentialité des données, veuillez consulter la FAQ sur la confidentialité des données. Pour plus d'informations sur la protection des données en Europe, consultez le modèle de responsabilitéAWS partagée et le billet de blog sur le RGPD sur le blog sur la AWS sécurité.

Pour des raisons de protection des données, nous vous recommandons de protéger les informations d'identification du AWS compte et de configurer des comptes utilisateur individuels avec AWS IAM Identity Center. Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous prenons en charge le protocole TLS 1.2.

  • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut au sein AWS des services.

  • Utilisez des services de sécurité gérés avancés tels qu'Amazon Macie, qui contribuent à la découverte et à la sécurisation des données personnelles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés FIPS 140-2 lorsque vous accédez à AWS via une CLI ou une API, utilisez un point de terminaison FIPS. Pour en savoir plus sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, veuillez consulter Federal information processing standard (FIPS) 140-2 (français non garanti).

Nous vous recommandons vivement de ne jamais placer d'informations identifiables sensibles, telles que les numéros de compte de vos clients, dans des champs de formulaire comme Name (Nom). Cela inclut lorsque vous travaillez avec Transfer Family ou d'autres AWS services à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données de configuration que vous entrez dans la configuration du service Transfer Family, ou dans les configurations d'autres services, peuvent être récupérées pour être incluses dans les journaux de diagnostic. Lorsque vous fournissez une URL à un serveur externe, n’incluez pas les informations d’identification non chiffrées dans l’URL pour valider votre demande adressée au serveur.

En revanche, les données issues des opérations de chargement et de téléchargement à destination et en provenance des serveurs Transfer Family sont traitées comme totalement privées et n'existent jamais en dehors des canaux cryptés, tels qu'une connexion SFTP ou FTPS. Ces données ne sont toujours accessibles qu'aux personnes autorisées.

Chiffrement des données dans Transfer Family

AWS Transfer Family utilise les options de chiffrement par défaut que vous avez définies pour votre compartiment Amazon S3 afin de chiffrer vos données. Lorsque vous activez le chiffrement par défaut sur un compartiment, tous les objets sont chiffrés au moment d'être stockés dans le compartiment. Les objets sont chiffrés à l'aide du chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3) ou des clés gérées AWS Key Management Service (AWS KMS SSE-KMS). Pour plus d'informations sur le chiffrement côté serveur, consultez la section Protection des données à l'aide du chiffrement côté serveur dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Les étapes suivantes vous montrent comment crypter des données. AWS Transfer Family

Pour autoriser le chiffrement dans AWS Transfer Family

  1. Activez le chiffrement par défaut pour votre compartiment Amazon S3. Pour obtenir des instructions, consultez le chiffrement par défaut d'Amazon S3 pour les compartiments S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

  2. Mettez à jour la politique de rôle AWS Identity and Access Management (IAM) attachée à l'utilisateur pour accorder les autorisations requises AWS Key Management Service (AWS KMS).

  3. Si vous utilisez une stratégie de session pour l'utilisateur, celle-ci doit accorder les AWS KMS autorisations requises.

L'exemple suivant montre une politique IAM qui accorde les autorisations minimales requises lors de l'utilisation AWS Transfer Family avec un compartiment Amazon S3 activé pour le AWS KMS chiffrement. Incluez cet exemple de politique à la fois dans la stratégie de rôle IAM de l'utilisateur et dans la stratégie de session, si vous en utilisez une.

{
   "Sid": "Stmt1544140969635",
   "Action": [
      "kms:Decrypt",
      "kms:Encrypt",
      "kms:GenerateDataKey",
      "kms:GetPublicKey",
      "kms:ListKeyPolicies"
   ],
   "Effect": "Allow",
   "Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
Note

L'ID de clé KMS que vous spécifiez dans cette politique doit être le même que celui spécifié pour le chiffrement par défaut à l'étape 1.

Root, ou le rôle IAM utilisé pour l'utilisateur, doit être autorisé dans la politique AWS KMS clé. Pour plus d'informations sur la politique AWS KMS clé, consultez la section Utilisation des politiques clés dans AWS KMS dans le Guide du AWS Key Management Service développeur.

AWS Transfer Family chiffrement au repos

Comme il AWS Transfer Family s'agit d'un service de transfert de fichiers, il ne gère pas vos données de stockage au repos. Les services et systèmes de stockage pris AWS Transfer Family en charge sont chargés de protéger les données dans cet état. Cependant, certaines données relatives aux services sont AWS Transfer Family gérées au repos.

Qu'est-ce qui est crypté ?

Les seules données traitées AWS Transfer Family au repos concernent les détails nécessaires au fonctionnement de vos serveurs de transfert de fichiers et au traitement des transferts. AWS Transfer Family stocke les données suivantes avec un chiffrement complet au repos dans Amazon DynamoDB :

  • Configurations du serveur (par exemple, paramètres du serveur, configurations de protocole et détails du point de terminaison).

  • Les données d'authentification des utilisateurs, y compris les clés publiques SSH et les métadonnées des utilisateurs.

  • Détails de l'exécution du flux de travail et configurations des étapes

  • Configurations du connecteur et informations d'authentification pour les systèmes tiers. Ces informations d'identification sont chiffrées à l'aide de clés de chiffrement AWS Transfer Family gérées.

Gestion des clés

Vous ne pouvez pas gérer les clés de chiffrement AWS Transfer Family utilisées pour stocker les informations dans DynamoDB relatives à l'exécution de vos serveurs et au traitement des transferts. Ces informations incluent les configurations de votre serveur, les données d'authentification des utilisateurs, les détails du flux de travail et les informations d'identification du connecteur.

Qu'est-ce qui n'est pas crypté ?

Bien que AWS Transfer Family cela ne contrôle pas la manière dont vos données de stockage sont chiffrées au repos, nous vous recommandons tout de même de configurer vos emplacements de stockage avec le niveau de sécurité le plus élevé qu'ils prennent en charge. Par exemple, vous pouvez chiffrer des objets avec des clés de chiffrement gérées par Amazon S3 (SSE-S3) ou des clés ( AWS KMS SSE-KMS).

En savoir plus sur la façon dont les services AWS de stockage cryptent les données au repos :