Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans AWS App Studio
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. L’efficacité de notre sécurité est régulièrement testée et vérifiée par des auditeurs tiers dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à App Studio, consultez la section [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre organisation, et la législation et la réglementation applicables.
Cette documentation vous aidera à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'App Studio. Les rubriques suivantes expliquent comment configurer App Studio pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui peuvent vous aider à surveiller et à sécuriser vos ressources App Studio.
**Topics**
+ [Considérations relatives à la sécurité et mesures d'atténuation](security-considerations-and-mitigations.md)
+ [Protection des données dans AWS App Studio](data-protection.md)
+ [AWS App Studio et Gestion des identités et des accès AWS (IAM)](security-iam.md)
+ [Validation de conformité pour AWS App Studio](compliance-validation.md)
+ [Résilience dans AWS App Studio](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure dans AWS App Studio](infrastructure-security.md)
+ [Analyse de configuration et de vulnérabilité dans AWS App Studio](vulnerability-analysis-and-management.md)
+ [Prévention du cas de figure de l’adjoint désorienté entre services](cross-service-confused-deputy-prevention.md)
+ [Transfert de données entre régions dans AWS App Studio](cross-region-data-transfer.md)
# Considérations relatives à la sécurité et mesures d'atténuation
## Considérations sur la sécurité
Lorsqu'il s'agit de connecteurs de données, de modèles de données et d'applications publiées, plusieurs problèmes de sécurité se posent en lien avec l'exposition des données, le contrôle d'accès et les vulnérabilités potentielles. La liste suivante inclut les principaux problèmes de sécurité.
### Configuration incorrecte des rôles IAM
Une configuration incorrecte des rôles IAM pour les connecteurs de données peut entraîner des accès non autorisés et des fuites de données. L'octroi d'un accès trop permissif au rôle IAM d'un connecteur de données peut permettre à des utilisateurs non autorisés d'accéder à des données sensibles et de les modifier.
### Utilisation des rôles IAM pour effectuer des opérations sur les données
Étant donné que les utilisateurs finaux d'une application App Studio assument le rôle IAM fourni dans la configuration du connecteur pour effectuer des actions, ces utilisateurs finaux peuvent avoir accès à des données auxquelles ils n'ont généralement pas accès.
### Suppression des connecteurs de données des applications publiées
Lorsqu'un connecteur de données est supprimé, les informations d'identification secrètes associées ne sont pas automatiquement supprimées des applications publiées qui utilisent déjà ce connecteur. Dans ce scénario, si une application a été publiée avec certains connecteurs et que l'un de ces connecteurs est supprimé d'App Studio, l'application publiée continuera de fonctionner en utilisant les informations d'identification du connecteur précédemment stockées. Il est important de noter que l'application publiée restera inchangée et opérationnelle malgré la suppression du connecteur.
### Modification des connecteurs de données sur les applications publiées
Lorsqu'un connecteur de données est modifié, les modifications ne sont pas automatiquement répercutées dans les applications publiées qui utilisent ce connecteur. Si une application a été publiée avec certains connecteurs et que l'un de ces connecteurs est modifié dans App Studio, l'application publiée continuera à utiliser la configuration et les informations d'identification du connecteur précédemment stockées. Pour intégrer les modifications du connecteur mises à jour, l'application doit être republiée. Jusqu'à ce que l'application soit republiée, elle restera incorrecte et non opérationnelle, ou ne sera pas affectée et opérationnelle, mais ne reflétera pas les dernières modifications du connecteur.
## Recommandations d'atténuation des risques de sécurité
Cette section répertorie les recommandations d'atténuation pour éviter les risques de sécurité détaillées dans la section précédente sur les considérations de sécurité.
1. **Configuration appropriée des rôles IAM :** assurez-vous que les rôles IAM pour les connecteurs de données sont correctement configurés selon le principe du moindre privilège afin d'empêcher les accès non autorisés et les fuites de données.
1. **Accès restreint aux applications :** ne partagez vos applications qu'avec les utilisateurs autorisés à consulter ou à effectuer des actions sur les données de l'application.
1. **Publication d'applications :** assurez-vous que les applications sont republiées chaque fois qu'un connecteur est mis à jour ou supprimé.
# Protection des données dans AWS App Studio
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans AWS App Studio. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec AWS App Studio ou autre à Services AWS l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
## Chiffrement des données
App Studio stocke et transfère les données en toute sécurité en chiffrant les données au repos et en transit.
### Chiffrement au repos
Le chiffrement au repos consiste à protéger vos données contre tout accès non autorisé en chiffrant les données stockées. App Studio fournit le chiffrement au repos par défaut à l'aide de AWS KMS clés, et vous n'avez pas besoin de configurer de configuration supplémentaire pour le chiffrement des données au repos.
App Studio stocke en toute sécurité les données suivantes pour vos applications : code source, artefacts de build, métadonnées et informations d'autorisation.
Lorsque vous utilisez des sources de données chiffrées à l'aide d'une clé gérée par le AWS KMS client (CMK), les ressources App Studio continuent d'être chiffrées à l'aide d'une clé AWS gérée, tandis que les données des sources de données chiffrées sont chiffrées par la CMK. Pour plus d'informations sur l'utilisation de sources de données chiffrées dans les applications App Studio, consultez[Utilisez des sources de données cryptées avec CMKs](encrypted-data-cmk.md).
App Studio utilise Amazon CloudFront pour proposer votre application à vos utilisateurs. CloudFront utilisations SSDs chiffrées pour les points de présence de localisation périphériques (POPs) et volumes EBS chiffrés pour les caches périphériques régionaux ()RECs. Le code de fonction et la configuration dans CloudFront Functions sont toujours stockés dans un format crypté SSDs sur l'emplacement POPs crypté en périphérie et dans d'autres emplacements de stockage utilisés par CloudFront.
## Chiffrement en transit
Le chiffrement en transit consiste à protéger vos données contre l'interception pendant qu'elles se déplacent entre les points de terminaison de communication. App Studio fournit le chiffrement des données en transit par défaut. Toutes les communications entre les clients et App Studio, ainsi qu'entre App Studio et ses dépendances en aval, sont protégées par des connexions TLS signées selon le processus de signature Signature version 4. Tous les points de terminaison App Studio utilisent des certificats SHA-256 gérés par une autorité de certification AWS Certificate Manager privée.
## Gestion des clés
App Studio ne prend pas en charge la gestion des clés de chiffrement.
## Confidentialité du trafic inter-réseaux
Lorsque vous créez une instance dans App Studio, vous choisissez la AWS région dans laquelle les données et les ressources seront stockées pour cette instance. Les artefacts et les métadonnées de création d'applications ne quittent jamais cette AWS région.
Notez toutefois les informations suivantes :
+ Dans la mesure où App Studio utilise Amazon CloudFront pour servir votre application et Lambda @Edge pour gérer l'authentification auprès de votre application, un ensemble limité de données d'authentification, de données d'autorisation et de métadonnées d'application serait accessible depuis des emplacements CloudFront périphériques, qui peuvent se trouver dans une région différente.
+ AWS App Studio transfère les données entre AWS les régions pour activer certaines fonctionnalités génératives d'IA dans le service. Pour plus d'informations sur les fonctionnalités activées par les transferts de données entre régions, le type de données transférées d'une région à l'autre et la procédure de désinscription, consultez[Transfert de données entre régions dans AWS App Studio](cross-region-data-transfer.md).
# AWS App Studio et Gestion des identités et des accès AWS (IAM)
Dans AWS App Studio, vous gérez l'accès et les autorisations dans le service en attribuant aux groupes d'IAM Identity Center le rôle approprié dans App Studio. Les autorisations des membres du groupe sont déterminées par le rôle attribué, et non par la configuration des utilisateurs, des rôles ou des autorisations directement dans Gestion des identités et des accès AWS (IAM). Pour plus d'informations sur la gestion des accès et des autorisations dans App Studio, consultez[Gestion des accès et des rôles dans App Studio](managing-access-and-roles.md).
App Studio s'intègre à IAM lors de la vérification d'une instance à des fins de facturation et lors de la connexion à un AWS compte pour créer et utiliser les ressources de ce AWS compte. Pour plus d'informations sur la connexion d'App Studio à d'autres AWS services destinés à être utilisés dans vos applications, consultez[Connect aux AWS services](add-connector-services.md).
Lorsque vous créez une instance dans App Studio, vous devez connecter un AWS compte en tant que compte de facturation et de gestion de votre instance. Pour activer les fonctionnalités clés, App Studio crée également des [rôles de service IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) afin de fournir au service les autorisations nécessaires pour effectuer des tâches en votre nom.
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources App Studio. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Politiques basées sur l'identité pour App Studio](#security_iam_service-with-iam-id-based-policies)
+ [Politiques basées sur les ressources dans App Studio](#security_iam_service-with-iam-resource-based-policies)
+ [Actions stratégiques pour App Studio](#security_iam_service-with-iam-id-based-policies-actions)
+ [Ressources relatives aux politiques pour App Studio](#security_iam_service-with-iam-id-based-policies-resources)
+ [Clés de conditions de politique pour App Studio](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [ACLs dans App Studio](#security_iam_service-with-iam-acls)
+ [ABAC avec App Studio](#security_iam_service-with-iam-tags)
+ [Utilisation d'informations d'identification temporaires avec App Studio](#security_iam_service-with-iam-roles-tempcreds)
+ [Autorisations principales interservices pour App Studio](#security_iam_service-with-iam-principal-permissions)
+ [Rôles de service pour App Studio](#security_iam_service-with-iam-roles-service)
+ [Rôles liés à un service pour App Studio](#security_iam_service-with-iam-roles-service-linked)
+ [AWS politiques gérées pour AWS App Studio](security-iam-awsmanpol.md)
+ [Rôles liés à un service pour App Studio](appstudio-service-linked-roles.md)
+ [Exemples de politiques basées sur l'identité pour App Studio AWS](security_iam_id-based-policy-examples.md)
Avant d'utiliser IAM pour gérer l'accès à App Studio, découvrez quelles fonctionnalités IAM peuvent être utilisées avec App Studio.
**Fonctionnalités IAM que vous pouvez utiliser avec AWS App Studio**
| Fonctionnalité IAM | Assistance avec App Studio |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies) | Non |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition d’une politique](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Non |
| [ACLs](#security_iam_service-with-iam-acls) | Non |
| [ABAC (étiquettes dans les politiques)](#security_iam_service-with-iam-tags) | Non |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Autorisations de principal](#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles de service](#security_iam_service-with-iam-roles-service) | Oui |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Oui |
Pour obtenir une vue d'ensemble de la façon dont App Studio et les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur *IAM*.
## Politiques basées sur l'identité pour App Studio
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur l'identité pour App Studio
Pour consulter des exemples de politiques basées sur l'identité d'App Studio, consultez. [Exemples de politiques basées sur l'identité pour App Studio AWS](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources dans App Studio
**Prend en charge les politiques basées sur les ressources :** non
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS
Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Actions stratégiques pour App Studio
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Pour consulter la liste des actions d'App Studio, consultez la section [Actions définies par AWS App Studio](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html#awsappstudio-actions-as-permissions) dans la *référence d'autorisation de service*.
Dans App Studio, les actions de stratégie utilisent le préfixe suivant avant l'action :
```
appstudio
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"appstudio:action1",
"appstudio:action2"
]
```
L'instruction suivante répertorie toutes les actions effectuées dans App Studio :
## Ressources relatives aux politiques pour App Studio
**Prend en charge les ressources de politique :** oui
Les autorisations App Studio ne prennent en charge qu'un caractère générique (`*`) dans l'`Resource`élément d'une politique.
## Clés de conditions de politique pour App Studio
**Prend en charge les clés de condition de politique spécifiques au service :** non
App Studio ne prend pas en charge les clés de conditions de politique.
## ACLs dans App Studio
**Supports ACLs :** Non
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
## ABAC avec App Studio
**Prise en charge d’ABAC (balises dans les politiques) :** non
App Studio ne prend pas en charge le contrôle d'accès basé sur les attributs (ABAC).
## Utilisation d'informations d'identification temporaires avec App Studio
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Autorisations principales interservices pour App Studio
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles de service pour App Studio
**Prend en charge les rôles de service :** oui
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
AWS App Studio utilise des [rôles de service IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) pour certaines fonctionnalités afin d'autoriser App Studio à effectuer des tâches en votre nom. La console crée automatiquement des rôles de service pour les fonctionnalités prises en charge lorsque vous configurez App Studio.
**Avertissement**
La modification des autorisations associées à un rôle de service peut perturber les fonctionnalités d'App Studio. Modifiez les rôles de service uniquement lorsque App Studio fournit des instructions à cet effet.
## Rôles liés à un service pour App Studio
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus d’informations sur la création ou la gestion des rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Recherchez un service dans le tableau qui inclut un `Yes` dans la colonne **Rôle lié à un service**. Choisissez le lien **Oui** pour consulter la documentation du rôle lié à ce service.
# AWS politiques gérées pour AWS App Studio
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour [créer des politiques gérées par le client IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique **ReadOnlyAccess** AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page [politiques gérées par AWS pour les fonctions de tâche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AppStudioServiceRolePolicy
Vous ne pouvez pas joindre de `AppStudioServiceRolePolicy` à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet à App Studio d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Rôles liés à un service pour App Studio](appstudio-service-linked-roles.md).
Cette politique accorde des autorisations qui permettent au rôle lié au service de gérer les AWS ressources.
### Détails de l’autorisation
Cette politique inclut les autorisations pour effectuer les opérations suivantes :
+ `logs`- Créez des groupes de CloudWatch journaux et des flux de journaux. Donne également l'autorisation de créer des événements de journal dans ces groupes de journaux et ces flux.
+ `secretsmanager`- Créez, lisez, mettez à jour et supprimez les secrets gérés par App Studio.
+ `sso`- Récupérez les instances de l'application.
+ `sso-directory`- Récupérez des informations sur les utilisateurs et récupérez la liste des membres des groupes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AppStudioResourcePermissionsForCloudWatch",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appstudio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForSecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecret",
"secretsmanager:TagResource"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio-*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"IsAppStudioSecret"
]
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"aws:ResourceTag/IsAppStudioSecret": "true"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForManagedSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:DeleteSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "appstudio"
}
}
},
{
"Sid": "AppStudioResourceWritePermissionsForManagedSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForSSO",
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso-directory:DescribeUsers",
"sso-directory:ListMembersInGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Mises à jour des politiques AWS gérées par App Studio
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour App Studio depuis que ce service a commencé à suivre ces modifications.
| Modifier | Description | Date |
| --- | --- | --- |
| [AppStudioServiceRolePolicy](#security-iam-awsmanpol-appstudioservicerolepolicy) – Mise à jour d’une stratégie existante | App Studio a ajouté de nouvelles autorisations pour permettre la gestion des secrets gérés par App Studio dans AWS Secrets Manager. | 14 mars 2025 |
| App Studio a commencé à suivre les modifications | App Studio a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 28 juin 2024 |
# Rôles liés à un service pour App Studio
App Studio utilise des rôles [Gestion des identités et des accès AWS liés à un service (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html). Un rôle lié à un service est un type unique de rôle IAM directement lié à App Studio. Les rôles liés à un service sont prédéfinis par App Studio et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration d'App Studio, car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. App Studio définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul App Studio peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos ressources App Studio, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
**Topics**
+ [Autorisations de rôle liées à un service pour App Studio](#slr-permissions)
+ [Création d'un rôle lié à un service pour App Studio](#create-slr)
+ [Modification d'un rôle lié à un service pour App Studio](#edit-slr)
+ [Supprimer un rôle lié à un service pour App Studio](#delete-slr)
## Autorisations de rôle liées à un service pour App Studio
App Studio utilise le rôle lié au service nommé. `AWSServiceRoleForAppStudio` Il s'agit d'un rôle lié à un service requis pour qu'App Studio puisse gérer les AWS services de manière permanente, afin de maintenir l'expérience de création d'applications.
Le rôle `AWSServiceRoleForAppStudio` lié à un service utilise la politique de confiance suivante, qui ne fait confiance qu'au `appstudio-service.amazonaws.com` service :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstudio-service.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Pour les autorisations, le rôle `AWSServiceRoleForAppStudio` lié au service fournit des autorisations aux services suivants :
+ Amazon CloudWatch : pour envoyer des journaux et des statistiques relatifs à l'utilisation d'App Studio.
+ AWS Secrets Manager: pour gérer les informations d'identification des connecteurs dans App Studio, utilisées pour connecter des applications à d'autres services.
+ IAM Identity Center : vers un accès en lecture seule pour gérer l'accès des utilisateurs.
Plus précisément, les autorisations accordées avec `AWSServiceRoleForAppStudio` sont définies par la politique `AppStudioServiceRolePolicy` gérée ci-jointe. Pour plus d'informations sur la politique gérée, y compris les autorisations qu'elle inclut, consultez[AWS politique gérée : AppStudioServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-appstudioservicerolepolicy).
## Création d'un rôle lié à un service pour App Studio
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une instance App Studio, App Studio crée le rôle lié à un service pour vous.
Si vous supprimez ce rôle lié à un service, il est recommandé de créer une instance App Studio afin d'en créer une autre automatiquement pour vous.
Bien que cela ne soit pas nécessaire, vous pouvez également utiliser la console IAM ou créer des rôles liés AWS CLI à un service en créant un rôle lié à un service avec le nom du `appstudio-service.amazonaws.com` service, comme dans l'extrait de politique de confiance présenté précédemment. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) dans le *Guide de l’utilisateur IAM*.
## Modification d'un rôle lié à un service pour App Studio
App Studio ne vous permet pas de modifier le rôle `AWSServiceRoleForAppStudio` lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour App Studio
Il n'est pas nécessaire de supprimer le `AWSServiceRoleForAppStudio` rôle. Lorsque vous supprimez l'instance d'App Studio, App Studio nettoie les ressources et supprime automatiquement le rôle lié au service.
Bien que cela ne soit pas recommandé, vous pouvez utiliser la console IAM ou le AWS CLI pour supprimer le rôle lié au service. Pour ce faire, vous devez d'abord nettoyer les ressources de votre rôle lié à un service, puis le supprimer.
**Note**
Si App Studio utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM**
1. Supprimez les applications et les connecteurs de votre instance App Studio.
1. Utilisez la console IAM, l’interface de ligne de commande IAM ou l’API IAM pour supprimer le rôle lié à un service `AWSServiceRoleForAppStudio`. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
# Exemples de politiques basées sur l'identité pour App Studio AWS
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier des ressources App Studio. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par App Studio, y compris le format ARNs de chaque type de ressource, consultez la section [Actions, ressources et clés de condition pour AWS App Studio](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html) dans la *référence d'autorisation de service*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console App Studio](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Exemple 1 : autoriser les utilisateurs à configurer une instance App Studio](#security_iam_id-based-policy-examples-set-up-appstudio-instance)
+ [Exemple 2 : Empêcher les utilisateurs de configurer une instance App Studio](#security_iam_id-based-policy-examples-deny-set-up-appstudio-instance)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources App Studio dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console App Studio
Pour accéder à la console AWS App Studio, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher des informations détaillées sur les ressources App Studio de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la console App Studio, associez également l'App Studio `ConsoleAccess` ou la politique `ReadOnly` AWS gérée aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Exemple 1 : autoriser les utilisateurs à configurer une instance App Studio
L'exemple suivant montre une politique basée sur l'identité permettant à un rôle de configurer une instance App Studio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"appstudio:GetAccountStatus",
"appstudio:GetEnablementJobStatus",
"appstudio:StartEnablementJob",
"appstudio:StartRollbackEnablementJob",
"appstudio:StartTeamDeployment"
],
"Resource": "*"
}]
}
```
------
## Exemple 2 : Empêcher les utilisateurs de configurer une instance App Studio
L'exemple suivant montre une politique basée sur l'identité visant à empêcher un rôle de configurer une instance App Studio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": [
"appstudio:*"
],
"Resource": "*"
}]
}
```
------
# Validation de conformité pour AWS App Studio
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Résilience dans AWS App Studio
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
Outre l'infrastructure AWS mondiale, AWS App Studio propose plusieurs fonctionnalités pour répondre à vos besoins en matière de résilience et de sauvegarde des données.
# Sécurité de l'infrastructure dans AWS App Studio
En tant que service géré, AWS App Studio est protégé par les procédures de sécurité du réseau AWS mondial décrites dans le livre blanc [Amazon Web Services : présentation des processus de sécurité](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Vous utilisez des appels d'API AWS publiés pour accéder à App Studio via le réseau. Les clients doivent prendre en charge au moins le protocole TLS (Transport Layer Security) 1.2, mais le protocole TLS 1.3 est recommandé. Les clients doivent aussi prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.
# Analyse de configuration et de vulnérabilité dans AWS App Studio
La configuration et les contrôles informatiques sont une responsabilité partagée entre vous AWS et vous, notre client. Pour plus d'informations, consultez le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Prévention du cas de figure de l’adjoint désorienté entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés de contexte de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations qui accordent un autre service à la ressource. Utilisez `aws:SourceArn` si vous souhaitez qu’une seule ressource soit associée à l’accès entre services. Utilisez `aws:SourceAccount` si vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices.
Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale `aws:SourceArn` avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l’ARN. Par exemple, `arn:aws:servicename:*:123456789012:*`.
Si la valeur `aws:SourceArn` ne contient pas l’ID du compte, tel qu’un ARN de compartiment Amazon S3, vous devez utiliser les deux clés de contexte de condition globale pour limiter les autorisations.
La valeur de `aws:SourceArn` doit être ResourceDescription.
L'exemple suivant montre comment vous pouvez utiliser les touches de contexte de condition `aws:SourceAccount` globale `aws:SourceArn` et globale pour éviter le problème de confusion des adjoints.
# Transfert de données entre régions dans AWS App Studio
AWS App Studio transfère les données entre AWS les régions pour activer certaines fonctionnalités génératives d'IA dans le service. Cette rubrique contient des informations sur les fonctionnalités activées par les transferts de données entre régions, le type de données transférées d'une région à l'autre et la procédure de désinscription.
Les fonctionnalités suivantes sont activées par le transfert de données entre régions et ne seront pas accessibles dans votre instance si vous vous désinscrivez :
1. Création d'une application avec l'IA, utilisée pour démarrer la création d'applications en décrivant votre application en langage naturel et en créant des ressources pour vous.
1. Le chat basé sur l'IA dans le studio d'application, utilisé pour poser des questions sur la création, la publication et le partage d'applications.
Les données suivantes sont transférées entre les régions :
1. Les instructions ou les entrées de l'utilisateur issues des fonctionnalités décrites précédemment.
Pour désactiver le transfert de données entre régions et les fonctionnalités qu'il permet, utilisez la procédure suivante pour remplir le formulaire de demande de désinscription depuis la console :
1. Ouvrez la console App Studio à l'adresse [https://console.aws.amazon.com/appstudio/](https://console.aws.amazon.com/appstudio/).
1. Choisissez **Désactiver le transfert de données**.
1. Entrez votre identifiant de AWS compte et votre adresse e-mail.
1. Sélectionnez **Soumettre**.
1. Une fois soumise, votre demande de refus du transfert de données entre régions sera traitée, ce qui peut prendre jusqu'à 60 jours.