Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Protezione dei dati in Amazon CloudFront

PDF
RSS
Modalità Focus
Protezione dei dati in Amazon CloudFront - Amazon CloudFront
Crittografia in transitoCrittografia a riposoLimitazione dell'accesso ai contenuti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Il modello di responsabilità AWS condivisa di si applica alla protezione dei dati in Amazon CloudFront. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al Modello di responsabilità condivisa AWS e GDPR nel Blog sulla sicurezza AWS .

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori CloudFront o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.

Amazon CloudFront offre diverse opzioni che puoi utilizzare per proteggere i contenuti che distribuisce:

  • Configurazione connessioni HTTPS.

  • Configurare la crittografia a livello di campo per fornire una protezione aggiuntiva per dati specifici durante il transito.

  • Restrizione dell'accesso ai contenuti in modo che solo determinate persone o persone in un'area specifica siano in grado di visualizzarli.

I seguenti argomenti spiegano le opzioni nel dettaglio.

Crittografia in transito

Per crittografare i dati durante il transito, configuri Amazon in modo che richieda CloudFront agli utenti di utilizzare HTTPS per richiedere i tuoi file, in modo che le connessioni siano crittografate quando CloudFront comunicano con gli spettatori. Puoi anche configurare l'utilizzo CloudFront di HTTPS per recuperare i file dall'origine, in modo che le connessioni siano crittografate quando CloudFront comunicano con l'origine.

Per ulteriori informazioni, consulta Usa HTTPS con CloudFront.

La crittografia a livello di campo aggiunge un ulteriore livello di sicurezza che, insieme a HTTPS, ti consente di proteggere dati specifici durante l'elaborazione del sistema, di modo che solo alcune applicazioni possano vederli. Configurando la crittografia a livello di campo in CloudFront, puoi caricare in modo sicuro le informazioni sensibili inviate dall'utente sui tuoi server web. Le informazioni sensibili fornite dai tuoi client sono crittografate nella edge location più vicina all'utente e rimangono tali durante l'intero stack di applicazioni. In questo modo, possono essere decrittate solo dalle applicazioni che hanno bisogno di quei dati e che dispongono delle credenziali per farlo.

Per ulteriori informazioni, consulta Utilizzo della crittografia a livello di campo per la protezione dei dati sensibili.

Gli endpoint dell' CloudFront API cloudfront.amazonaws.com e cloudfront-fips.amazonaws.com accettano solo traffico HTTPS. Ciò significa che quando invii e ricevi informazioni utilizzando l' CloudFront API, i tuoi dati, incluse le configurazioni di distribuzione, le politiche di cache e le politiche di richiesta di origine, i gruppi di chiavi e le chiavi pubbliche e il codice CloudFront funzionale in Functions, vengono sempre crittografati in transito. Inoltre, tutte le richieste inviate agli endpoint dell' CloudFront API vengono firmate con credenziali e registrate. AWS AWS CloudTrail

Il codice e la configurazione della funzione in CloudFront Functions sono sempre crittografati in transito quando vengono copiati nei punti di presenza di edge location (POPs) e tra altre posizioni di archiviazione utilizzate da. CloudFront

Crittografia a riposo

Il codice e la configurazione CloudFront delle funzioni in Functions vengono sempre archiviati in un formato crittografato nell'edge location POPs e in altre posizioni di archiviazione utilizzate da CloudFront.

Limitazione dell'accesso ai contenuti

Molte aziende che distribuiscono contenuti tramite Internet vogliono limitare l'accesso a documenti, dati aziendali, flussi multimediali o contenuti destinati a un subset di utenti. Per distribuire questi contenuti in modo sicuro utilizzando Amazon CloudFront, puoi eseguire una o più delle seguenti operazioni:

Utilizza cookie firmati URLs o

Puoi limitare l'accesso ai contenuti destinati a utenti selezionati, ad esempio utenti che hanno pagato una tariffa, pubblicando questi contenuti privati tramite CloudFront cookie firmati o firmati. URLs Per ulteriori informazioni, consulta Offri contenuti privati con cookie firmati URLs e firmati.

Limitare l'accesso ai contenuti nei bucket Amazon S3

Se limiti l'accesso ai tuoi contenuti utilizzando, ad esempio, cookie CloudFront firmati URLs o firmati, non vuoi nemmeno che le persone visualizzino i file utilizzando l'URL diretto del file. Invece, vuoi che accedano ai file solo utilizzando l'URL CloudFront , in modo che le protezioni funzionino.

Se utilizzi un bucket Amazon S3 come origine per una CloudFront distribuzione, puoi configurare un controllo di accesso all'origine (OAC) che consente di limitare l'accesso al bucket S3. Per ulteriori informazioni, consulta Limita l'accesso a un'origine di Amazon Simple Storage Service.

Limitare l'accesso al contenuto gestito da un Application Load Balancer

Quando utilizzi CloudFront un Application Load Balancer in Elastic Load Balancing come origine, puoi CloudFront configurare per impedire agli utenti di accedere direttamente all'Application Load Balancer. Ciò consente agli utenti di accedere all'Application Load Balancer solo tramite CloudFront, assicurandoti di ottenere i vantaggi dell'utilizzo. CloudFront Per ulteriori informazioni, consulta Limita l'accesso agli Application Load Balancer.

Usa il web AWS WAF ACLs

È possibile utilizzare AWS WAF un servizio firewall per applicazioni Web per creare una lista di controllo degli accessi Web (Web ACL) per limitare l'accesso ai contenuti. In base a condizioni specificate, come gli indirizzi IP da cui provengono le richieste o i valori delle stringhe di query, CloudFront risponde alle richieste con il contenuto richiesto o con un codice di stato HTTP 403 (Proibito). Per ulteriori informazioni, consulta Usa AWS WAF protezioni.

Usa restrizione geografica

Puoi utilizzare la restrizione geografica, nota anche come geoblocking, per impedire agli utenti in specifiche aree geografiche di accedere ai contenuti distribuiti tramite una distribuzione CloudFront. Puoi scegliere tra varie opzioni quando configuri restrizioni geografiche. Per ulteriori informazioni, consulta Limita la distribuzione geografica dei tuoi contenuti.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.