Protection des données dans Amazon Verified Permissions - Amazon Verified Permissions
Chiffrement des données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Amazon Verified Permissions

Le modèle de responsabilité AWS partagée Le modèle s'applique à la protection des données dans Amazon Verified Permissions. Comme décrit dans ce modèle, AWS est responsable de la protection de l’infrastructure globale sur laquelle l’ensemble du AWS Cloud s’exécute. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Ce contenu inclut la configuration de la sécurité et les tâches de gestion pour le Services AWS produit que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

  • À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches.

  • Nous vous recommandons de sécuriser vos données de la manière suivante :

    • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

    • Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous avons besoin du protocole TLS 1.2.

    • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.

    • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

    • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

    • Si vous avez besoin de modules cryptographiques validés FIPS (Federal Information Processing Standard) 140-2 lorsque vous accédez à AWS via une CLI (Interface de ligne de commande) ou une API (Interface de programmation), utilisez un point de terminaison FIPS (Federal Information Processing Standard). Pour plus d’informations sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez Federal Information Processing Standard (FIPS) 140-2 (Normes de traitement de l’information fédérale).

  • Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec des autorisations vérifiées ou autre Services AWS à l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

  • Les noms de vos actions ne doivent contenir aucune information sensible.

  • Nous vous recommandons également vivement de toujours utiliser des identifiants uniques, non modifiables et non réutilisables pour vos entités (ressources et principes). Dans un environnement de test, vous pouvez choisir d'utiliser des identifiants d'entité simples, tels que jane ou bob pour le nom d'une entité de typeUser. Cependant, dans un système de production, il est essentiel, pour des raisons de sécurité, d'utiliser des valeurs uniques qui ne peuvent pas être réutilisées. Nous vous recommandons d'utiliser des valeurs telles que les identificateurs uniques universels (UUIDs). Prenons l'exemple de l'utilisateur jane qui quitte l'entreprise. Plus tard, vous permettez à quelqu'un d'autre d'utiliser le nomjane. Ce nouvel utilisateur a automatiquement accès à tout ce qui est accordé par les politiques qui font toujours référenceUser::"jane". Permissions vérifiées et Cedar ne peut pas faire la distinction entre le nouvel utilisateur et l'utilisateur précédent.

    Ces directives s'appliquent à la fois aux identificateurs principaux et aux identificateurs de ressources. Utilisez toujours des identifiants dont l'unicité est garantie et qui ne sont jamais réutilisés afin de ne pas autoriser l'accès par inadvertance en raison de la présence d'un ancien identifiant dans une politique.

  • Assurez-vous que les chaînes que vous souhaitez définir Long et Decimal les valeurs se situent dans la plage valide de chaque type. Assurez-vous également que l'utilisation d'opérateurs arithmétiques n'aboutit pas à une valeur en dehors de la plage valide. Si la plage est dépassée, l'opération entraîne une exception de débordement. Une politique qui entraîne une erreur est ignorée, ce qui signifie qu'une politique d'autorisation peut échouer de manière inattendue à autoriser l'accès, ou qu'une politique d'interdiction peut ne pas bloquer l'accès de manière inattendue.

Chiffrement des données

Amazon Verified Permissions chiffre automatiquement toutes les données des clients, telles que les politiques Clé gérée par AWS, à l'aide d'un. L'utilisation d'une clé gérée par le client n'est donc ni nécessaire ni prise en charge.