Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Protection des données dans AWS AppFabric
Le modèle de responsabilité AWS partagée
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
-
Utilisez l'authentification multifactorielle (MFA) pour chaque compte.
-
UtilisezSSL/TLSpour communiquer avec les AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.
-
Configuration API et journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section Utilisation des CloudTrail sentiers dans le guide de AWS CloudTrail l'utilisateur.
-
Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
-
Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
-
Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-3
.
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela inclut lorsque vous travaillez avec AppFabric ou d'autres Services AWS utilisateurs de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.
Note
Pour plus d'informations sur la protection des données appliquée AppFabric à la sécurité, consultezTraitement des données dans AppFabric.
Chiffrement au repos
AWS AppFabric prend en charge le chiffrement au repos, une fonctionnalité de chiffrement côté serveur qui chiffre de AppFabric manière transparente toutes les données relatives à vos ensembles d'applications lorsqu'elles sont conservées sur le disque, et les déchiffre lorsque vous accédez aux données. Par défaut, AppFabric chiffre vos données à l'aide d'un Clé détenue par AWS from AWS Key Management Service (AWS KMS). Vous pouvez également choisir de chiffrer vos données à l'aide de votre propre clé gérée par le client à partir de AWS KMS.
Lorsque vous supprimez un ensemble d'applications, toutes ses métadonnées sont définitivement supprimées.
Chiffrement en transit
Lorsque vous configurez un ensemble d'applications, vous pouvez choisir une clé gérée par le client Clé détenue par AWS ou une clé gérée par le client. Lors de la collecte et de la normalisation des données pour l'ingestion d'un journal d'audit, AppFabric les données sont stockées temporairement dans un compartiment Amazon Simple Storage Service (Amazon S3) intermédiaire et les chiffre à l'aide de cette clé. Ce compartiment intermédiaire est supprimé au bout de 30 jours, conformément à une politique de cycle de vie du compartiment.
AppFabric sécurise toutes les données en transit à l'aide de la TLS version 1.2 et signe les API demandes Services AWS avec AWS Signature V4.
Gestion des clés
AppFabric prend en charge le chiffrement des données à l'aide d'une clé Clé détenue par AWS ou d'une clé gérée par le client. Nous vous recommandons d'utiliser une clé gérée par le client, car elle vous permet de contrôler totalement vos données chiffrées. Lorsque vous choisissez une clé gérée par le client, vous AppFabric associez une politique de ressources à la clé gérée par le client qui lui donne accès à la clé gérée par le client.
Clé gérée par le client
Pour créer une clé gérée par le client, suivez les étapes de création de KMS clés de chiffrement symétriques décrites dans le guide du AWS KMS développeur.
Stratégie de clé
Les politiques clés contrôlent l'accès aux clés gérées par vos clients. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations sur la création d'une stratégie clé, consultez la section Création d'une politique clé dans le Guide du AWS KMS développeur.
Pour utiliser une clé gérée par le client avec AppFabric, l'utilisateur ou le rôle AWS Identity and Access Management (IAM) qui crée vos AppFabric ressources doit être autorisé à utiliser votre clé gérée par le client. Nous vous recommandons de créer une clé que vous utiliserez uniquement avec AppFabric et d'ajouter vos AppFabric utilisateurs en tant qu'utilisateurs de la clé. Cette approche limite l'étendue de l'accès à vos données. Les autorisations dont vos utilisateurs ont besoin sont les suivantes :
-
kms:DescribeKey
-
kms:CreateGrant
-
kms:GenerateDataKey
-
kms:Decrypt
La AWS KMS console vous guide tout au long de la création d'une clé avec la politique de clé appropriée. Pour plus d'informations sur les politiques clés, consultez la section Politiques clés du Guide du AWS KMS développeur. AWS KMS
Voici un exemple de politique clé qui permet :
-
Le contrôle Utilisateur racine d'un compte AWS total de la clé.
-
Utilisateurs autorisés AppFabric à utiliser votre clé gérée par le client avec AppFabric.
-
Une politique clé pour la configuration d'un bundle d'applications dans
us-east-1
.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::
111122223333
:root"}, "Action": ["kms:*"], "Resource": "arn:aws:kms:us-east-1
:111122223333
:key/key_ID
" }, { "Sid": "Allow read-only access to key metadata to the account", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333
:root"}, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" }, { "Sid": "Allow access to principals authorized to use AWS AppFabric", "Effect": "Allow", "Principal": {"AWS": "IAM-role/user-creating-appfabric-resources
"}, "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:DescribeKey", "kms:CreateGrant", "kms:ListAliases" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "appfabric.us-east-1
.amazonaws.com", "kms:CallerAccount": "111122223333
" } } } ] }
Comment AppFabric utilise les subventions dans AWS KMS
AppFabric nécessite une autorisation pour utiliser votre clé gérée par le client. Pour plus d'informations, consultez la section Subventions AWS KMS dans le guide du AWS KMS développeur.
Lorsque vous créez un bundle d'applications, AppFabric crée une subvention en votre nom en envoyant une CreateGrant
demande à AWS KMS. Les subventions AWS KMS sont utilisées pour donner AppFabric accès à une AWS KMS clé dans un compte client. AppFabric exige que l'autorisation utilise votre clé gérée par le client pour les opérations internes suivantes :
-
Envoyez
GenerateDataKey
des demandes AWS KMS à pour générer des clés de données chiffrées par votre clé gérée par le client. -
Envoyez
Decrypt
des demandes AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données et pour déchiffrer les jetons d'accès aux applications en transit. -
Envoyez
Encrypt
des demandes à AWS KMS pour chiffrer les jetons d'accès aux applications en transit.
Voici un exemple de subvention.
{ "KeyId": "arn:aws:kms:us-east-1:111122223333:key/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "GrantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "Name": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "CreationDate": "2022-10-11T20:35:39+00:00", "GranteePrincipal": "appfabric.us-east-1.amazonaws.com", "RetiringPrincipal": "appfabric.us-east-1.amazonaws.com", "IssuingAccount": "arn:aws:iam::111122223333:root", "Operations": [ "Decrypt", "Encrypt", "GenerateDataKey" ], "Constraints": { "EncryptionContextSubset": { "appBundleArn": "arn:aws:fabric:us-east-1:111122223333:appbundle/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE" } } },
Lorsque vous supprimez un bundle d'applications, les AppFabric subventions accordées sont supprimées sur votre clé gérée par le client.
Surveillance de vos clés de chiffrement pour AppFabric
Lorsque vous utilisez des clés gérées par le AWS KMS client avec AppFabric, vous pouvez utiliser AWS CloudTrail les journaux pour suivre les demandes AppFabric envoyées à AWS KMS.
Voici un exemple d' CloudTrail événement enregistré lors de l' AppFabric utilisation CreateGrant
de votre clé gérée par le client.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser", "arn": "arn:aws:sts::111122223333:assumed-role/AssumedRole/SampleUser", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIGDTESTANDEXAMPLE", "arn": "arn:aws:iam::111122223333:role/AssumedRole", "accountId": "111122223333", "userName": "SampleUser" }, "webIdFederationData": {}, "attributes": { "creationDate": "2023-04-28T14:01:33Z", "mfaAuthenticated": "false" } } }, "eventTime": "2023-04-28T14:05:48Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-east-1", "sourceIPAddress": "appfabric.amazonaws.com", "userAgent": "appfabric.amazonaws.com", "requestParameters": { "granteePrincipal": "appfabric.us-east-1.amazonaws.com", "constraints": { "encryptionContextSubset": { "appBundleArn": "arn:aws:appfabric:us-east-1:111122223333:appbundle/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE" } }, "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLEID", "retiringPrincipal": "appfabric.us-east-1.amazonaws.com", "operations": [ "Encrypt", "Decrypt", "GenerateDataKey" ] }, "responseElements": { "grantId": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "keyId": "arn:aws:kms:us-east-1:111122223333:key/KEY_ID" }, "additionalEventData": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE" }, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "AWS Internal", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-east-1:111122223333:key/key_ID" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_256_GCM_SHA384", "clientProvidedHostHeader": "kms.us-east-1.amazonaws.com" } }