Protection des données dans Amazon DevOps Guru - Amazon DevOps Guru
Chiffrement des donnéesComment DevOps Guru utilise les subventions dans AWS KMSSurveillance de vos clés de chiffrement dans DevOps GuruCréation d’une clé gérée par le clientConfidentialité du trafic

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Amazon DevOps Guru

Le modèle de responsabilité AWS partagée s'applique à la protection des données dans Amazon DevOps Guru. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQ. Pour plus d'informations sur la protection des données en Europe, consultez le modèle de responsabilitéAWS partagée et le billet de GDPR blog sur le blog sur la AWS sécurité.

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l'authentification multifactorielle (MFA) pour chaque compte.

  • UtilisezSSL/TLSpour communiquer avec les AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Configuration API et journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section Utilisation des CloudTrail sentiers dans le guide de AWS CloudTrail l'utilisateur.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela inclut lorsque vous travaillez avec DevOps Guru ou une autre personne Services AWS utilisant la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.

Chiffrement des données dans DevOps Guru

Le chiffrement est un élément important de la sécurité de DevOps Guru. Certains chiffrements, par exemple pour les données en transit, sont fournis par défaut et ne nécessitent aucune intervention de votre part. Vous pouvez configurer d'autres types de chiffrement, par exemple pour les données au repos, lorsque vous créez votre projet ou votre build.

  • Chiffrement des données en transit : Toutes les communications entre les clients et DevOps Guru et entre DevOps Guru et ses dépendances en aval sont protégées TLS et authentifiées à l'aide du processus de signature Signature version 4. Tous les points de terminaison DevOps Guru utilisent des certificats gérés par AWS Private Certificate Authority. Pour plus d'informations, consultez les sections Processus de signature de Signature version 4 et Qu'est-ce que c'est ACM PCA.

  • Chiffrement des données au repos : pour toutes les AWS ressources analysées par DevOps Guru, les CloudWatch métriques, les données, les ressources IDs et les AWS CloudTrail événements Amazon sont stockés à l'aide d'Amazon S3, Amazon DynamoDB et Amazon Kinesis. Si AWS CloudFormation des piles sont utilisées pour définir les ressources analysées, les données des piles sont également collectées. DevOpsGuru applique les politiques de conservation des données d'Amazon S3, DynamoDB et Kinesis. Les données stockées dans Kinesis peuvent être conservées jusqu'à un an, selon les politiques définies. Les données stockées dans Amazon S3 et DynamoDB sont stockées pendant un an.

    Les données stockées sont chiffrées à l'aide des fonctionnalités de data-at-rest chiffrement d'Amazon S3, DynamoDB et Kinesis.

    Clés gérées par le client : DevOps Guru prend en charge le chiffrement du contenu client et des métadonnées sensibles telles que les anomalies de journal générées à partir des CloudWatch journaux à l'aide de clés gérées par le client. Cette fonctionnalité vous permet d'ajouter une couche de sécurité autogérée pour vous aider à répondre aux exigences réglementaires et de conformité de votre organisation. Pour plus d'informations sur l'activation des clés gérées par le client dans les paramètres de votre DevOps Guru, consultezMise à jour des paramètres de chiffrement dansDevOpsGourou.

    Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :

    • Établissement et gestion des stratégies de clé

    • Établir et maintenir IAM des politiques et des subventions

    • Activation et désactivation des stratégies de clé

    • Rotation des matériaux de chiffrement de clé

    • Ajout de balises

    • Création d'alias de clé

    • Planification des clés pour la suppression

    Pour plus d'informations, consultez la section Clés gérées par le client dans le Guide du AWS Key Management Service développeur.

    Note

    DevOpsGuru active automatiquement le chiffrement au repos à l'aide de clés AWS détenues pour protéger gratuitement les métadonnées sensibles. Toutefois, AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d'informations sur les tarifs, consultez les AWS Key Management Service tarifs.

Comment DevOps Guru utilise les subventions dans AWS KMS

DevOpsGuru a besoin d'une autorisation pour utiliser votre clé gérée par le client.

Lorsque vous choisissez d'activer le chiffrement à l'aide d'une clé gérée par le client, DevOps Guru crée une subvention en votre nom en envoyant une CreateGrant demande à AWS KMS. Les subventions AWS KMS sont utilisées pour donner à DevOps Guru l'accès à une AWS KMS clé dans un compte client.

DevOpsGuru a besoin de l'autorisation d'utiliser votre clé gérée par le client pour les opérations internes suivantes :

  • Envoyez DescribeKey des demandes AWS KMS à pour vérifier que l'ID de KMS clé symétrique géré par le client saisi lors de la création d'un tracker ou d'une collection de géofences est valide.

  • Envoyez GenerateDataKey des demandes AWS KMS à pour générer des clés de données chiffrées par votre clé gérée par le client.

  • Envoyez des demandes de déchiffrement AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.

Vous pouvez révoquer l'accès à l'octroi ou supprimer l'accès du service à la clé gérée par le client à tout moment. Si vous le faites, DevOps Guru ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données. Par exemple, si vous essayez d'obtenir des informations chiffrées sur les anomalies du journal auxquelles DevOps Guru ne peut pas accéder, l'opération renverra une AccessDeniedException erreur.

Surveillance de vos clés de chiffrement dans DevOps Guru

Lorsque vous utilisez une clé gérée par le AWS KMS client avec les ressources de votre DevOps Guru, vous pouvez utiliser AWS CloudTrail ou CloudWatch Logs pour suivre les demandes que DevOps Guru envoie AWS KMS.

Création d’une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console ou le AWS KMS APIs.

Pour créer une clé symétrique gérée par le client, voir Création de clés de chiffrement KMS symétriques.

Stratégie de clé

Les politiques de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, voir Authentification et contrôle d'accès AWS KMS dans le Guide du AWS Key Management Service développeur.

Pour utiliser votre clé gérée par le client avec les ressources de votre DevOps Guru, les API opérations suivantes doivent être autorisées dans la politique des clés :

  • kms:CreateGrant : ajoute une attribution à une clé gérée par le client. Accorde un accès de contrôle à une AWS KMS clé spécifiée, ce qui permet d'accéder aux opérations d'octroi requises par DevOps Guru. Pour plus d'informations sur l'utilisation des subventions, consultez le guide du AWS Key Management Service développeur.

Cela permet à DevOps Guru de faire ce qui suit :

  • Appelez GenerateDataKey pour générer une clé de données cryptée et la stocker, car la clé de données n'est pas immédiatement utilisée pour chiffrer.

  • Appelez Decrypt pour utiliser la clé de données cryptée stockée afin d'accéder aux données cryptées.

  • Configurez un directeur partant à la retraite pour permettre au service de RetireGrant.

  • kms:DescribeKey À utiliser pour fournir les informations clés gérées par le client afin de permettre à DevOps Guru de valider la clé.

La déclaration suivante inclut des exemples de déclarations de politique que vous pouvez ajouter pour DevOps Guru :

  "Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to use DevOps Guru",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "devops-guru.Region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
      "Sid" : "Allow read-only access to key metadata to the account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::111122223333:root"
      },
      "Action" : [ 
        "kms:Describe*",
        "kms:Get*",
        "kms:List*"
      ],
      "Resource" : "*"
    }
  ]

Confidentialité du trafic

Vous pouvez améliorer la sécurité de votre analyse des ressources et de la génération d'informations en configurant DevOps Guru pour qu'il utilise un point de VPC terminaison d'interface. Pour ce faire, vous n'avez pas besoin de passerelle Internet, d'NATappareil ou de passerelle privée virtuelle. Il n'est pas non plus nécessaire de le configurer PrivateLink, bien que cela soit recommandé. Pour de plus amples informations, veuillez consulter DevOpsVPCPoints de terminaison Guru et interface ()AWS PrivateLink. Pour plus d'informations sur PrivateLink les VPC points de terminaison, consultez AWS PrivateLinket Accès aux AWS services via PrivateLink.