Suppression des données d’Audit Manager Chiffrement au repos Chiffrement en transit Gestion des clés

Protection des données dans AWS Audit Manager

Le AWS modèle de responsabilité partagée modèle s'applique à la protection des données dans AWS Audit Manager. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. Il vous incombe de garder le contrôle sur votre contenu hébergé sur cette infrastructure. Vous êtes également responsable de la configuration de la sécurité et des tâches de gestion pour Services AWS que vous utilisez. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQ. Pour plus d'informations sur la protection des données en Europe, consultez le AWS Modèle de responsabilité partagée et article de GDPR blog sur AWS Blog sur la sécurité.

Pour des raisons de protection des données, nous vous recommandons de protéger Compte AWS informations d'identification et configuration des utilisateurs individuels avec AWS IAM Identity Center or AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

Utilisez l'authentification multifactorielle (MFA) pour chaque compte.
UtilisezSSL/TLSpour communiquer avec AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.
Configuration API et enregistrement de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation CloudTrail des sentiers pour capturer AWS activités, voir Travailler avec les CloudTrail sentiers dans le AWS CloudTrail Guide de l'utilisateur.
Utiliser AWS solutions de chiffrement, ainsi que tous les contrôles de sécurité par défaut intégrés Services AWS.
Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un FIPS point de terminaison. Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec Audit Manager ou un autre Services AWS à l'aide de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas y inclure d'informations d'identification URL pour valider votre demande auprès de ce serveur.

Outre la recommandation ci-dessus, nous recommandons spécifiquement aux clients d’Audit Manager de ne pas inclure d’informations d’identification sensibles dans les champs au format de texte libre lors de la création d’évaluations, de contrôles personnalisés, de cadres personnalisés et de commentaires de délégation.

Suppression des données d’Audit Manager

Les données d’Audit Manager peuvent être supprimées de plusieurs manières.

Suppression des données lors de la désactivation d’Audit Manager

Lorsque vous désactivez Audit Manager, vous pouvez décider si vous souhaitez supprimer toutes vos données d’Audit Manager. Si vous choisissez de supprimer vos données, elles seront supprimées dans les 7 jours suivant la désactivation d’Audit Manager. Une fois vos données supprimées, vous ne pouvez pas les récupérer.

Suppression automatique des données

Certaines données d’Audit Manager sont supprimées automatiquement après un certain temps. Audit Manager conserve les données des clients comme suit.

Type de données	Période de conservation des données	Remarques
Éléments probants	Les données sont conservées pendant 2 ans à partir de leur création	Cela comprend les éléments probants automatisés et manuels
Ressources créées par le client	Les données sont conservées indéfiniment	Cela comprend les évaluations, les rapports d’évaluation, les contrôles personnalisés et les frameworks personnalisés

Suppression manuelle des données

Vous pouvez supprimer des ressources d’Audit Manager à tout moment. Pour obtenir des instructions, veuillez consulter les sections suivantes :

Supprimer une évaluation dans AWS Audit Manager
- Voir également : DeleteAssessmentdans le AWS Audit Manager APIRéférence
Suppression d'un framework personnalisé dans AWS Audit Manager
- Voir également : DeleteAssessmentFrameworkdans le AWS Audit Manager APIRéférence
Supprimer des demandes de partage dans AWS Audit Manager
- Voir également : DeleteAssessmentFrameworkSharedans le AWS Audit Manager APIRéférence
Suppression d’un rapport d’évaluation
- Voir également : DeleteAssessmentReportdans le AWS Audit Manager APIRéférence
Suppression d'un contrôle personnalisé dans AWS Audit Manager
- Voir également : DeleteControldans le AWS Audit Manager APIRéférence

Pour supprimer d’autres éventuelles données de ressources créées lors de votre utilisation d’Audit Manager, consultez ce qui suit :

Supprimer un magasin de données d'événements dans AWS CloudTrail Guide de l'utilisateur
Suppression d’un compartiment dans le Guide de l’utilisateur d’Amazon Simple Storage Service (Amazon S3).

Chiffrement au repos

Pour chiffrer les données au repos, Audit Manager utilise le chiffrement côté serveur avec Clés gérées par AWS pour tous ses magasins de données et ses journaux.

Vos données sont cryptées à l'aide d'une clé gérée par le client ou d'un Clé détenue par AWS, en fonction des paramètres que vous avez sélectionnés. Si vous ne fournissez pas de clé gérée par le client, Audit Manager utilise un Clé détenue par AWS pour chiffrer votre contenu. Toutes les métadonnées de service dans DynamoDB et Amazon S3 dans Audit Manager sont chiffrées à l'aide d'un Clé détenue par AWS.

Audit Manager chiffre les données comme suit :

Les métadonnées de service stockées dans Amazon S3 sont cryptées dans le cadre d'un Clé détenue par AWS en utilisant SSE -KMS.
Les métadonnées de service stockées dans DynamoDB sont chiffrées côté serveur à l'aide d'un KMS Clé détenue par AWS.
Votre contenu stocké dans DynamoDB est chiffré côté client à l'aide d'une clé gérée par le client ou d'un Clé détenue par AWS. La KMS clé dépend des paramètres que vous avez choisis.
Votre contenu stocké dans Amazon S3 dans Audit Manager est chiffré à l'aide de SSE -KMS. La KMS clé est basée sur votre sélection et peut être une clé gérée par le client ou un Clé détenue par AWS.
Les rapports d’évaluation publiés dans votre compartiment S3 sont chiffrés comme suit :
- Si vous avez fourni une clé gérée par le client, vos données sont cryptées à l'aide de SSE -KMS.
- Si vous avez utilisé le Clé détenue par AWS, vos données sont cryptées à l'aide de SSE -S3.

Chiffrement en transit

Audit Manager fournit des points de terminaison sécurisés et privés pour le chiffrement des données en transit. Les points de terminaison sécurisés et privés permettent AWS pour protéger l'intégrité des API demandes adressées à Audit Manager.

Transit interservices

Par défaut, toutes les communications interservices sont protégées à l'aide du chiffrement Transport Layer Security (TLS).

Gestion des clés

Audit Manager prend en charge les deux Clés détenues par AWS et des clés gérées par le client pour chiffrer toutes les ressources d'Audit Manager (évaluations, contrôles, cadres, preuves et rapports d'évaluation enregistrés dans les compartiments S3 de vos comptes).

Nous vous recommandons d’utiliser une clé gérée par le client. Ce faisant, vous pouvez consulter et gérer les clés de chiffrement qui protègent vos données, notamment consulter les journaux de leur utilisation dans AWS CloudTrail. Lorsque vous choisissez une clé gérée par le client, Audit Manager crée une autorisation sur la KMS clé afin qu'elle puisse être utilisée pour chiffrer votre contenu.

Avertissement

Après avoir supprimé ou désactivé une KMS clé utilisée pour chiffrer les ressources d'Audit Manager, vous ne pouvez plus déchiffrer la ressource chiffrée sous cette KMS clé, ce qui signifie que les données deviennent irrécupérables.

Supprimer une KMS clé dans AWS Key Management Service (AWS KMS) est destructeur et potentiellement dangereux. Pour plus d'informations sur la suppression de KMS clés, voir Suppression AWS KMS keys dans le .AWS Key Management Service Guide de l'utilisateur.

Vous pouvez définir vos paramètres de chiffrement lorsque vous activez Audit Manager à l'aide du AWS Management Console, l'Audit Manager API ou le AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, voirActivation AWS Audit Manager.

Vous pouvez consulter et modifier vos paramètres de chiffrement à tout moment. Pour obtenir des instructions, consultez Configuration des paramètres de chiffrement des données.

Pour plus d'informations sur la configuration des clés gérées par le client, voir Création de clés dans le AWS Key Management Service Guide de l'utilisateur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Sécurité

Gestion des identités et des accès