Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Protection des données sur Amazon EBS
Le modèle de responsabilité AWS partagée
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
-
Utilisez l'authentification multifactorielle (MFA) pour chaque compte.
-
UtilisezSSL/TLSpour communiquer avec les AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.
-
Configuration API et journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section Utilisation des CloudTrail sentiers dans le guide de AWS CloudTrail l'utilisateur.
-
Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
-
Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
-
Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-3
.
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela inclut lorsque vous travaillez avec Amazon EBS ou un autre utilisateur Services AWS à l'aide de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.
Sécurité EBS des données Amazon
Les EBS volumes Amazon vous sont présentés sous forme de blocs bruts et non formatés. Ces appareils sont des appareils logiques créés sur l'EBSinfrastructure et le EBS service Amazon garantit qu'ils sont logiquement vides (c'est-à-dire que les blocs bruts sont mis à zéro ou qu'ils contiennent des données cryptographiquement pseudo-aléatoires) avant toute utilisation ou réutilisation par un client.
Si vous avez des procédures qui exigent que toutes les données soient effacées à l'aide d'une méthode spécifique, après ou avant utilisation (ou les deux), telles que celles décrites dans le DoD 5220.22-M (manuel d'exploitation du programme national de sécurité industrielle) NISTou 800-88 (directives pour la désinfection des médias), vous pouvez le faire sur Amazon. EBS Cette activité au niveau des blocs sera répercutée sur le support de stockage sous-jacent au sein du service AmazonEBS.
Chiffrement au repos et en transit
Amazon EBS Encryption est une solution de chiffrement qui vous permet de chiffrer vos EBS volumes Amazon et vos EBS instantanés Amazon à l'aide de clés AWS Key Management Service cryptographiques. EBSdes opérations de chiffrement ont lieu sur les serveurs hébergeant les EC2 instances Amazon, garantissant data-at-restainsi la sécurité data-in-transitentre une instance et son volume attaché et tout instantané ultérieur. Pour de plus amples informations, veuillez consulter EBSChiffrement Amazon.
KMSgestion des clés
Lorsque vous créez un EBS volume ou un instantané Amazon chiffré, vous spécifiez une AWS Key Management Service clé. Par défaut, Amazon EBS utilise la KMS clé AWS gérée pour Amazon EBS dans votre compte et votre région (aws/ebs). Vous pouvez toutefois spécifier une KMS clé gérée par le client que vous créez et gérez. L'utilisation d'une KMS clé gérée par le client vous donne plus de flexibilité, notamment la possibilité de créer, de faire pivoter et de désactiver KMS des clés.
Pour utiliser une KMS clé gérée par le client, vous devez autoriser les utilisateurs à utiliser la KMS clé. Pour de plus amples informations, veuillez consulter Autorisations pour les utilisateurs .
Important
Amazon ne EBS prend en charge que les KMSclés symétriques. Vous ne pouvez pas utiliser de KMSclés asymétriques pour chiffrer un EBS volume Amazon et des instantanés. Pour savoir si une KMS clé est symétrique ou asymétrique, consultez la section Identification des clés KMS asymétriques.
Pour chaque volume, Amazon EBS demande AWS KMS de générer une clé de données unique chiffrée sous la KMS clé que vous spécifiez. Amazon EBS stocke la clé de données cryptée avec le volume. Ensuite, lorsque vous attachez le volume à une EC2 instance Amazon, Amazon EBS appelle AWS KMS pour déchiffrer la clé de données. Amazon EBS utilise la clé de données en texte brut contenue dans la mémoire de l'hyperviseur pour chiffrer toutes les E/S du volume. Pour de plus amples informations, veuillez consulter Comment fonctionne EBS le chiffrement Amazon.
