Protection des données dans Amazon DevOps Guru - Amazon DevOps Guru
Chiffrement des donnéesComment DevOps Guru utilise les subventions dans AWS KMSSurveillance de vos clés de chiffrement dans DevOps GuruCréation d’une clé gérée par le clientConfidentialité du trafic

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Amazon DevOps Guru

Le modèle de responsabilité AWS partagée s'applique à la protection des données dans Amazon DevOps Guru. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des AWS services que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent AWS services.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-2 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez Federal Information Processing Standard (FIPS) 140-2 (Normes de traitement de l’information fédérale).

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec DevOps Guru ou une autre personne AWS services à l'aide de la console, de l'API ou AWS des SDK. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Chiffrement des données dans DevOps Guru

Le chiffrement est un élément important de la sécurité de DevOps Guru. Certains chiffrements, par exemple pour les données en transit, sont fournis par défaut et ne nécessitent aucune intervention de votre part. Vous pouvez configurer d'autres types de chiffrement, par exemple pour les données au repos, lorsque vous créez votre projet ou votre build.

  • Chiffrement des données en transit : Toutes les communications entre les clients et DevOps Guru et entre DevOps Guru et ses dépendances en aval sont protégées par le protocole TLS et authentifiées à l'aide du processus de signature Signature version 4. Tous les points de terminaison DevOps Guru utilisent des certificats gérés par AWS Private Certificate Authority. Pour de plus amples informations, veuillez consulter Processus de signature Signature Version 4 et Présentation d'ACM PCA.

  • Chiffrement des données au repos : pour toutes les AWS ressources analysées par DevOps Guru, les CloudWatch métriques et données Amazon, les identifiants de ressources et les AWS CloudTrail événements sont stockés à l'aide d'Amazon S3, Amazon DynamoDB et Amazon Kinesis. Si AWS CloudFormation des piles sont utilisées pour définir les ressources analysées, les données des piles sont également collectées. DevOpsGuru applique les politiques de conservation des données d'Amazon S3, DynamoDB et Kinesis. Les données stockées dans Kinesis peuvent être conservées jusqu'à un an, selon les politiques définies. Les données stockées dans Amazon S3 et DynamoDB sont stockées pendant un an.

    Les données stockées sont chiffrées à l'aide des fonctionnalités de data-at-rest chiffrement d'Amazon S3, DynamoDB et Kinesis.

    Clés gérées par le client : DevOps Guru prend en charge le chiffrement du contenu client et des métadonnées sensibles telles que les anomalies de journal générées à partir des CloudWatch journaux à l'aide de clés gérées par le client. Cette fonctionnalité vous permet d'ajouter une couche de sécurité autogérée pour vous aider à répondre aux exigences réglementaires et de conformité de votre organisation. Pour plus d'informations sur l'activation des clés gérées par le client dans les paramètres de votre DevOps Guru, consultezMise à jour des paramètres de chiffrement dansDevOpsGourou.

    Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :

    • Établissement et gestion des stratégies de clé

    • Établissement et gestion des politiques IAM et des octrois

    • Activation et désactivation des stratégies de clé

    • Rotation des matériaux de chiffrement de clé

    • Ajout de balises

    • Création d'alias de clé

    • Planification des clés pour la suppression

    Pour plus d'informations, consultez la section Clés gérées par le client dans le Guide du AWS Key Management Service développeur.

    Note

    DevOpsGuru active automatiquement le chiffrement au repos à l'aide de clés AWS détenues pour protéger gratuitement les métadonnées sensibles. Toutefois, AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d'informations sur les tarifs, consultez les AWS Key Management Service tarifs.

Comment DevOps Guru utilise les subventions dans AWS KMS

DevOpsGuru a besoin d'une autorisation pour utiliser votre clé gérée par le client.

Lorsque vous choisissez d'activer le chiffrement à l'aide d'une clé gérée par le client, DevOps Guru crée une subvention en votre nom en envoyant une CreateGrant demande à AWS KMS. Les subventions AWS KMS sont utilisées pour donner à DevOps Guru l'accès à une AWS KMS clé dans un compte client.

DevOpsGuru a besoin de l'autorisation d'utiliser votre clé gérée par le client pour les opérations internes suivantes :

  • Envoyez DescribeKey des demandes AWS KMS à pour vérifier que l'ID de clé KMS symétrique géré par le client saisi lors de la création d'un tracker ou d'une collection de géofences est valide.

  • Envoyez GenerateDataKey des demandes AWS KMS à pour générer des clés de données chiffrées par votre clé gérée par le client.

  • Envoyez des demandes de déchiffrement AWS KMS à pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.

Vous pouvez révoquer l'accès à l'octroi ou supprimer l'accès du service à la clé gérée par le client à tout moment. Si vous le faites, DevOps Guru ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données. Par exemple, si vous essayez d'obtenir des informations chiffrées sur les anomalies du journal auxquelles DevOps Guru ne peut pas accéder, l'opération renverra une AccessDeniedException erreur.

Surveillance de vos clés de chiffrement dans DevOps Guru

Lorsque vous utilisez une clé gérée par le AWS KMS client avec les ressources de votre DevOps Guru, vous pouvez utiliser AWS CloudTrail ou CloudWatch Logs pour suivre les demandes que DevOps Guru envoie AWS KMS.

Création d’une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client à l'aide des API AWS Management Console ou des AWS KMS API.

Pour créer une clé symétrique gérée par le client, reportez-vous à la section Création de clés KMS de chiffrement symétriques.

Stratégie de clé

Les politiques de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez la section Authentification et contrôle d'accès AWS KMS dans le guide du AWS Key Management Service développeur.

Pour utiliser votre clé gérée par le client avec les ressources de votre DevOps Guru, les opérations d'API suivantes doivent être autorisées dans la politique des clés :

  • kms:CreateGrant : ajoute une attribution à une clé gérée par le client. Accorde un accès de contrôle à une AWS KMS clé spécifiée, ce qui permet d'accéder aux opérations d'octroi requises par DevOps Guru. Pour plus d'informations sur l'utilisation des subventions, consultez le guide du AWS Key Management Service développeur.

Cela permet à DevOps Guru de faire ce qui suit :

  • Appelez GenerateDataKey pour générer une clé de données cryptée et la stocker, car la clé de données n'est pas immédiatement utilisée pour chiffrer.

  • Appelez Decrypt pour utiliser la clé de données cryptée stockée afin d'accéder aux données cryptées.

  • Configurez un directeur partant à la retraite pour permettre au service de RetireGrant.

  • Utilisez kms : DescribeKey pour fournir les informations relatives aux clés gérées par le client afin de permettre à DevOps Guru de valider la clé.

La déclaration suivante inclut des exemples de déclarations de politique que vous pouvez ajouter pour DevOps Guru :

  "Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to use DevOps Guru",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "devops-guru.Region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
      "Sid" : "Allow read-only access to key metadata to the account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::111122223333:root"
      },
      "Action" : [ 
        "kms:Describe*",
        "kms:Get*",
        "kms:List*"
      ],
      "Resource" : "*"
    }
  ]

Confidentialité du trafic

Vous pouvez améliorer la sécurité de votre analyse des ressources et de la génération d'informations en configurant DevOps Guru pour qu'il utilise un point de terminaison VPC d'interface. Pour ce faire, vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT ni d'une passerelle privée virtuelle. Il n'est pas non plus nécessaire de le configurer PrivateLink, bien que cela soit recommandé. Pour plus d’informations, consultez DevOpsPoints de terminaison VPC Guru et interface ()AWS PrivateLink. Pour plus d'informations sur PrivateLink les points de terminaison VPC, consultez et AWS PrivateLinkAccès aux services AWS via. PrivateLink