Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Protection des données dans Amazon VPC Lattice - Amazon VPC Lattice
Chiffrement en transitChiffrement au repos

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Amazon VPC Lattice

PDFRSS

Le modèle de responsabilité AWS partagée Le modèle s'applique à la protection des données dans Amazon VPC Lattice. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Ce contenu comprend les tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour en savoir plus sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

Chiffrement en transit

VPC Lattice est un service entièrement géré composé d'un plan de contrôle et d'un plan de données. Chaque avion a un objectif distinct dans le service. Le plan de contrôle fournit les informations administratives APIs utilisées pour créer, lire/décrire, mettre à jour, supprimer et répertorier les ressources (CRUDL) (par exemple, CreateService et). UpdateService Les communications avec le plan de contrôle VPC Lattice sont protégées en transit par le protocole TLS. Le plan de données est l'API VPC Lattice Invoke, qui assure l'interconnexion entre les services. Le protocole TLS chiffre les communications vers le plan de données VPC Lattice lorsque vous utilisez HTTPS ou TLS. La suite de chiffrement et la version du protocole utilisent les valeurs par défaut fournies par VPC Lattice et ne sont pas configurables. Pour de plus amples informations, veuillez consulter Écouteurs HTTPS pour les services VPC Lattice.

Chiffrement au repos

Par défaut, le chiffrement des données au repos permet de réduire la charge opérationnelle et la complexité liées à la protection des données sensibles. Dans le même temps, il vous permet de créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement.

Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)

Lorsque vous utilisez le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), chaque objet est chiffré à l'aide d'une clé unique. Comme mesure de protection supplémentaire, nous chiffrons la clé elle-même à l'aide d'une clé racine que nous changeons régulièrement. Le chiffrement côté serveur Amazon S3 utilise l'un des chiffrements par bloc les plus puissants qui existent, Advanced Encryption Standard 256 bits (AES-256) GCM, pour chiffrer vos données. Pour les objets chiffrés avant AES-GCM, AES-CBC est toujours pris en charge pour déchiffrer ces objets. Pour plus d'informations, consultez Utilisation du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3).

Si vous activez le chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3) pour votre compartiment S3 pour les journaux d'accès VPC Lattice, nous chiffrons automatiquement chaque fichier journal d'accès avant qu'il ne soit stocké dans votre compartiment S3. Pour plus d'informations, consultez la section Logs envoyés à Amazon S3 dans le guide de CloudWatch l'utilisateur Amazon.

Chiffrement côté serveur avec AWS KMS clés stockées dans AWS KMS (SSE-KMS)

Le chiffrement par AWS KMS clés côté serveur (SSE-KMS) est similaire au SSE-S3, mais l'utilisation de ce service comporte des avantages et des frais supplémentaires. Il existe des autorisations distinctes pour la AWS KMS clé qui fournissent une protection supplémentaire contre l'accès non autorisé à vos objets dans Amazon S3. SSE-KMS vous fournit également une piste d'audit qui indique quand votre AWS KMS clé a été utilisée et par qui. Pour plus d'informations, consultez la section Utilisation du chiffrement côté serveur avec AWS Key Management Service (SSE-KMS).

Chiffrement et déchiffrement de la clé privée de votre certificat

Votre certificat ACM et votre clé privée sont chiffrés à l'aide d'une clé KMS AWS gérée portant l'alias aws/acm. Vous pouvez consulter l'ID de clé avec cet alias dans la AWS KMS console sous clés AWS gérées.

VPC Lattice n'accède pas directement à vos ressources ACM. Il utilise le gestionnaire de connexion AWS TLS pour sécuriser et accéder aux clés privées de votre certificat. Lorsque vous utilisez votre certificat ACM pour créer un service VPC Lattice, VPC Lattice associe votre certificat au TLS Connection Manager. AWS Cela se fait en créant une subvention associée à votre AWS KMS clé AWS gérée avec le préfixe aws/acm. Une autorisation est un instrument de politique qui autorise TLS Connection Manager à utiliser des clés KMS dans les opérations de chiffrement. Elle permet au principal bénéficiaire (TLS Connection Manager) d’appeler les opérations d’autorisation spécifiées sur la clé KMS pour déchiffrer la clé privée de votre certificat. TLS Connection Manager utilise ensuite le certificat et la clé privée déchiffrée (texte brut) pour établir une connexion sécurisée (session SSL/TLS) avec les clients des services VPC Lattice. Lorsque le certificat est dissocié d'un service VPC Lattice, la subvention est retirée.

Si vous souhaitez supprimer l'accès à la clé KMS, nous vous recommandons de remplacer ou de supprimer le certificat du service à l'aide de la update-service commande AWS Management Console ou du AWS CLI.

Contexte de chiffrement pour VPC Lattice

Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur contenant des informations contextuelles sur l'utilisation que votre clé privée est susceptible d'être utilisée. AWS KMS lie le contexte de chiffrement aux données chiffrées et les utilise comme données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié.

Lorsque vos clés TLS sont utilisées avec VPC Lattice et le gestionnaire de connexions TLS, le nom de votre service VPC Lattice est inclus dans le contexte de chiffrement utilisé pour chiffrer votre clé au repos. Vous pouvez vérifier pour quel service VPC Lattice votre certificat et votre clé privée sont utilisés en consultant le contexte de chiffrement dans vos CloudTrail journaux, comme indiqué dans la section suivante, ou en consultant l'onglet Ressources associées de la console ACM.

Pour déchiffrer des données, le même contexte de chiffrement est inclus dans la demande. VPC Lattice utilise le même contexte de chiffrement dans toutes les opérations cryptographiques AWS KMS, où la clé aws:vpc-lattice:arn et la valeur sont le Amazon Resource Name (ARN) du service VPC Lattice.

L’exemple suivant présente le contexte de chiffrement dans la sortie d’une opération telle que CreateGrant.

"encryptionContextEquals": {
    "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}

Surveillance de vos clés de chiffrement pour VPC Lattice

Lorsque vous utilisez une clé AWS gérée avec votre service VPC Lattice, vous pouvez l'utiliser AWS CloudTrailpour suivre les demandes auxquelles VPC Lattice envoie. AWS KMS

CreateGrant

Lorsque vous ajoutez votre certificat ACM à un service VPC Lattice, CreateGrant une demande est envoyée en votre nom pour que TLS Connection Manager puisse déchiffrer la clé privée associée à votre certificat ACM.

Vous pouvez visualiser l'CreateGrantopération sous forme d'événement dans CloudTrail, Historique des événements, CreateGrant.

Voici un exemple d'enregistrement d'événement dans l'historique des CloudTrail événements de l'CreateGrantopération.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::111122223333:user/Alice",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "IAMUser",
                "principalId": "EX_PRINCIPAL_ID",
                "arn": "arn:aws:iam::111122223333:user/Alice",
                "accountId": "111122223333",
                "userName": "Alice"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-06T23:30:50Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "acm.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:18Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "acm.amazonaws.com",
    "userAgent": "acm.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "tlsconnectionmanager.amazonaws.com",
        "keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "operations": [
            "Decrypt"
        ],
        "constraints": {
            "encryptionContextEquals": {
                "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
            }
        },
        "retiringPrincipal": "acm.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ba178361-8ab6-4bdd-9aa2-0d1a44b2974a",
    "eventID": "8d449963-1120-4d0c-9479-f76de11ce609",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Dans l'CreateGrantexemple ci-dessus, le bénéficiaire principal est TLS Connection Manager, et le contexte de chiffrement possède l'ARN du service VPC Lattice.

ListGrants

Vous pouvez utiliser votre identifiant de clé KMS et votre identifiant de compte pour appeler l'ListGrantsAPI. Vous obtenez ainsi une liste de toutes les autorisations pour la clé KMS spécifiée. Pour de plus amples informations, veuillez consulter ListGrants.

Utilisez la ListGrants commande suivante dans le AWS CLI pour voir les détails de toutes les subventions.

aws kms list-grants —key-id your-kms-key-id

Voici un exemple de sortie.

{
    "Grants": [
        {
            "Operations": [
                "Decrypt"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", 
            "Name": "IssuedThroughACM", 
            "RetiringPrincipal": "acm.us-west-2.amazonaws.com", 
            "GranteePrincipal": "tlsconnectionmanager.amazonaws.com", 
            "GrantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", 
            "IssuingAccount": "arn:aws:iam::111122223333:root", 
            "CreationDate": "2023-02-06T23:30:50Z", 
            "Constraints": {
                "encryptionContextEquals": {
                  "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                  "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
                }
            }
        }
    ]
}

Dans l'ListGrantsexemple ci-dessus, le bénéficiaire principal est TLS Connection Manager et le contexte de chiffrement possède l'ARN du service VPC Lattice.

Decrypt

VPC Lattice utilise le gestionnaire de connexions TLS pour appeler l'Decryptopération de déchiffrement de votre clé privée afin de servir les connexions TLS dans votre service VPC Lattice. Vous pouvez visualiser l'Decryptopération sous forme d'CloudTrailévénement dans Historique des événements, Déchiffrer.

Voici un exemple d'enregistrement d'événement dans l'historique des CloudTrail événements de l'Decryptopération.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "tlsconnectionmanager.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "tlsconnectionmanager.amazonaws.com",
    "userAgent": "tlsconnectionmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12345126-30d5-4b28-98b9-9153da559963",
    "eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "eventCategory": "Management"
}

Rubrique précédente :

Demandes authentifiées

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.