Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Protezione dei dati in Amazon CloudFront
Il modello di responsabilità AWS condivisa
Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center o AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
-
Utilizza l'autenticazione a più fattori (MFA) con ogni account.
-
UsaSSL/TLSper comunicare con AWS le risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.
-
Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'uso dei CloudTrail percorsi per registrare AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.
-
Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
-
Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
-
Se hai bisogno di FIPS 140-3 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o unAPI, usa un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing
Standard () 140-3. FIPS
Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori CloudFront o Servizi AWS utilizzi in altro modo la console, API AWS CLI, o. AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.
Amazon CloudFront offre diverse opzioni che puoi utilizzare per proteggere i contenuti che distribuisce:
-
Configura HTTPS le connessioni.
-
Configurare la crittografia a livello di campo per fornire una protezione aggiuntiva per dati specifici durante il transito.
-
Restrizione dell'accesso ai contenuti in modo che solo determinate persone o persone in un'area specifica siano in grado di visualizzarli.
I seguenti argomenti spiegano le opzioni nel dettaglio.
Crittografia in transito
Per crittografare i dati durante il transito, configuri Amazon in modo che richieda CloudFront agli utenti di richiedere i HTTPS tuoi file, in modo che le connessioni siano crittografate quando CloudFront comunicano con gli spettatori. Puoi anche configurarlo CloudFront HTTPS per recuperare i file dall'origine, in modo che le connessioni siano crittografate quando CloudFront comunica con l'origine.
Per ulteriori informazioni, consulta Usa HTTPS con CloudFront.
La crittografia a livello di campo aggiunge un ulteriore livello di sicurezza e consente di HTTPS proteggere dati specifici durante l'elaborazione del sistema in modo che solo determinate applicazioni possano vederli. Configurando la crittografia a livello di campo in CloudFront, puoi caricare in modo sicuro le informazioni sensibili inviate dall'utente sui tuoi server web. Le informazioni sensibili fornite dai tuoi client sono crittografate nella edge location più vicina all'utente e rimangono tali durante l'intero stack di applicazioni. In questo modo, possono essere decrittate solo dalle applicazioni che hanno bisogno di quei dati e che dispongono delle credenziali per farlo.
Per ulteriori informazioni, consulta Utilizzo della crittografia a livello di campo per la protezione dei dati sensibili.
Gli CloudFront API endpoint accettano solo traffico. cloudfront.amazonaws.com
cloudfront-fips.amazonaws.com
HTTPS Ciò significa che quando invii e ricevi informazioni utilizzando il CloudFront API, i tuoi dati, incluse le configurazioni di distribuzione, le politiche di cache e le politiche di richiesta di origine, i gruppi di chiavi e le chiavi pubbliche e il codice CloudFront funzionale in Functions, vengono sempre crittografati durante il transito. Inoltre, tutte le richieste inviate agli CloudFront API endpoint vengono firmate con credenziali e registrate. AWS AWS CloudTrail
Il codice e la configurazione della funzione in CloudFront Functions sono sempre crittografati in transito quando vengono copiati nei punti di presenza di edge location (POPs) e tra altre posizioni di archiviazione utilizzate da. CloudFront
Crittografia a riposo
Il codice e la configurazione CloudFront delle funzioni in Functions vengono sempre archiviati in un formato crittografato nell'edge location POPs e in altre posizioni di archiviazione utilizzate da CloudFront.
Limitazione dell'accesso ai contenuti
Molte aziende che distribuiscono contenuti tramite Internet vogliono limitare l'accesso a documenti, dati aziendali, flussi multimediali o contenuti destinati a un subset di utenti. Per distribuire questi contenuti in modo sicuro utilizzando Amazon CloudFront, puoi eseguire una o più delle seguenti operazioni:
- Utilizza cookie firmati URLs o
-
Puoi limitare l'accesso ai contenuti destinati a utenti selezionati, ad esempio utenti che hanno pagato una tariffa, pubblicando questi contenuti privati tramite CloudFront cookie firmati o firmati. URLs Per ulteriori informazioni, consulta Offri contenuti privati con cookie firmati URLs e firmati.
- Limitare l'accesso ai contenuti nei bucket Amazon S3
-
Se limiti l'accesso ai tuoi contenuti utilizzando, ad esempio, cookie CloudFront firmati URLs o firmati, non vorrai nemmeno che le persone visualizzino i file utilizzando i dati diretti per i file. URL Desideri invece che accedano ai file solo utilizzando il CloudFront URL, in modo che le tue protezioni funzionino.
Se utilizzi un bucket Amazon S3 come origine per una CloudFront distribuzione, puoi configurare un controllo di accesso all'origine (OAC) che consente di limitare l'accesso al bucket S3. Per ulteriori informazioni, consulta Limita l'accesso a un'origine Amazon Simple Storage Service.
- Limitare l'accesso al contenuto gestito da un Application Load Balancer
-
Quando utilizzi CloudFront un Application Load Balancer in Elastic Load Balancing come origine, puoi CloudFront configurare per impedire agli utenti di accedere direttamente all'Application Load Balancer. Ciò consente agli utenti di accedere all'Application Load Balancer solo tramite CloudFront, assicurandoti di ottenere i vantaggi dell'utilizzo. CloudFront Per ulteriori informazioni, consulta Limita l'accesso agli Application Load Balancer.
- Usa il web AWS WAF ACLs
-
È possibile utilizzare AWS WAF un servizio firewall per applicazioni Web per creare una lista di controllo degli accessi Web (WebACL) per limitare l'accesso ai contenuti. In base a condizioni specificate, come gli indirizzi IP da cui provengono le richieste o i valori delle stringhe di query, CloudFront risponde alle richieste con il contenuto richiesto o con un codice di stato HTTP 403 (Proibito). Per ulteriori informazioni, consulta Usa AWS WAF protezioni.
- Usa restrizione geografica
-
Puoi utilizzare la restrizione geografica, nota anche come geoblocking, per impedire agli utenti di aree geografiche specifiche di accedere ai contenuti che offri tramite una distribuzione. CloudFront Puoi scegliere tra varie opzioni quando configuri restrizioni geografiche. Per ulteriori informazioni, consulta Limita la distribuzione geografica dei tuoi contenuti.