Protection des données dans AWS Certificate Manager - AWS Certificate Manager
Sécurité des clés privées des certificats

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans AWS Certificate Manager

Le AWS modèle de responsabilité partagée modèle s'applique à la protection des données dans AWS Certificate Manager. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. Il vous incombe de garder le contrôle sur votre contenu hébergé sur cette infrastructure. Vous êtes également responsable de la configuration de la sécurité et des tâches de gestion pour Services AWS que tu utilises. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQ. Pour plus d'informations sur la protection des données en Europe, consultez le AWS Modèle de responsabilité partagée et article de GDPR blog sur AWS Blog sur la sécurité.

Pour des raisons de protection des données, nous vous recommandons de protéger Compte AWS informations d'identification et configuration des utilisateurs individuels avec AWS IAM Identity Center or AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l'authentification multifactorielle (MFA) pour chaque compte.

  • UtilisezSSL/TLSpour communiquer avec AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Configuration API et enregistrement de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation CloudTrail des sentiers pour capturer AWS activités, voir Travailler avec les CloudTrail sentiers dans le AWS CloudTrail Guide de l'utilisateur.

  • Utiliser AWS des solutions de chiffrement, ainsi que tous les contrôles de sécurité par défaut Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un FIPS point de terminaison. Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec ACM ou d'autres Services AWS à l'aide de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.

Sécurité des clés privées des certificats

Lorsque vous demandez un certificat public, AWS Certificate Manager (ACM) génère une paire de clés publique/privée. Pour les imported certificates (certificats importés), vous générez la paire de clés. La clé publique devient partie intégrante du certificat. ACMstocke le certificat et la clé privée correspondante, et utilise AWS Key Management Service (AWS KMS) pour protéger la clé privée. Voici comment cela fonctionne :

  1. La première fois que vous demandez ou importez un certificat dans un AWS Région, ACM crée une zone gérée AWS KMS key avec l'alias aws/acm. Cette KMS clé est unique dans chaque AWS compte et chacun AWS Région.

  2. ACMutilise cette KMS clé pour chiffrer la clé privée du certificat. ACMstocke uniquement une version cryptée de la clé privée ; ACM ne stocke pas la clé privée sous forme de texte brut. ACMutilise la même KMS clé pour chiffrer les clés privées de tous les certificats d'un AWS compte et un compte spécifique AWS Région.

  3. Lorsque vous associez le certificat à un service intégré à AWS Certificate Manager, ACM envoie le certificat et la clé privée chiffrée au service. Une subvention est également créée dans AWS KMS qui permet au service d'utiliser la KMS clé pour déchiffrer la clé privée du certificat. Pour plus d'informations sur les subventions, voir Utilisation des subventions dans le AWS Key Management Service Guide du développeur. Pour plus d'informations sur les services pris en charge parACM, consultezServices intégrés à ACM.

    Note

    Vous avez le contrôle sur les fichiers créés automatiquement AWS KMS subvention. Si vous supprimez cette subvention pour quelque raison que ce soit, vous perdez la ACM fonctionnalité du service intégré.

  4. Les services intégrés utilisent la KMS clé pour déchiffrer la clé privée. Le service utilise ensuite le certificat et la clé privée déchiffrée (texte brut) pour établir des canaux de communication sécurisés (SSL/TLSsessions) avec ses clients.

  5. Lorsque le certificat est dissocié d'un service intégré, la subvention créée à l'étape 3 est retirée. Cela signifie que le service ne peut plus utiliser la KMS clé pour déchiffrer la clé privée du certificat.