Sécurité de l'infrastructure sur Amazon CloudWatch - Amazon CloudWatch
Isolement de réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure sur Amazon CloudWatch

En tant que service géré, Amazon CloudWatch est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez API les appels AWS publiés pour accéder CloudWatch via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Sécurité de la couche de transport (TLS). Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Des suites de chiffrement parfaitement confidentielles (PFS) telles que (Ephemeral Diffie-Hellman) ou DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un IAM principal. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d'identification de sécurité temporaires et signer les demandes.

Isolement de réseau

Un cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée dans le cloud Amazon Web Services. Un sous-réseau est une plage d'adresses IP dans unVPC. Vous pouvez déployer diverses AWS ressources dans les sous-réseaux de votreVPCs. Par exemple, vous pouvez déployer des EC2 instances Amazon, des EMR clusters et des tables DynamoDB dans des sous-réseaux. Pour plus d'informations, consultez le guide de VPC l'utilisateur Amazon.

Pour CloudWatch permettre de communiquer avec les ressources VPC sans passer par l'Internet public, utilisez AWS PrivateLink. Pour de plus amples informations, veuillez consulter Utilisation CloudWatch et CloudWatch synthèse des points de terminaison d'interface VPC.

Un sous-réseau privé est un sous-réseau sans routage par défaut vers le réseau Internet public. Le déploiement d'une AWS ressource dans un sous-réseau privé n'empêche pas Amazon CloudWatch de collecter des métriques intégrées à partir de la ressource.

Si vous devez publier des métriques personnalisées à partir d'une AWS ressource d'un sous-réseau privé, vous pouvez le faire à l'aide d'un serveur proxy. Le serveur proxy transmet ces HTTPS demandes aux API points de terminaison publics pour CloudWatch.