Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Le modèle de responsabilité AWS partagée
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
-
Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
-
Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.
-
Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section Utilisation des CloudTrail sentiers dans le guide de AWS CloudTrail l'utilisateur.
-
Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
-
Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
-
Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez Norme FIPS (Federal Information Processing Standard) 140-3
.
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela inclut lorsque vous travaillez avec Image Builder ou autre Services AWS à l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
Chiffrement et gestion des clés dans Image Builder
Image Builder chiffre les données en transit et au repos par défaut à l'aide d'une clé KMS appartenant au service, sauf dans les cas suivants :
-
Composants personnalisés : Image Builder chiffre les composants personnalisés à l'aide de votre clé KMS par défaut ou d'une clé KMS appartenant au service.
-
Flux de travail d'images — Image Builder peut chiffrer vos flux de travail d'images à l'aide d'une clé gérée par le client si vous spécifiez la clé lors de la création du flux de travail. Image Builder gère le chiffrement et le déchiffrement à l'aide de votre clé afin d'exécuter les flux de travail que vous avez configurés pour vos images.
Vous pouvez gérer vos propres clés par le biais de AWS KMS. Toutefois, vous n'êtes pas autorisé à gérer la clé KMS Image Builder détenue par Image Builder. Pour plus d'informations sur la gestion de vos clés KMS avec AWS Key Management Service, consultez Getting Started dans le guide du AWS Key Management Service développeur.
Contexte de chiffrement
Pour fournir un contrôle supplémentaire de l'intégrité et de l'authenticité de vos données chiffrées, vous avez la possibilité d'inclure un contexte de chiffrement lorsque vous chiffrez les données. Lorsqu'une ressource est chiffrée avec un contexte de chiffrement, lie AWS KMS cryptographiquement le contexte au texte chiffré. La ressource ne peut être déchiffrée que si le demandeur fournit une correspondance exacte, distinguant majuscules et minuscules, pour le contexte.
Les exemples de politique présentés dans cette section utilisent un contexte de chiffrement similaire à l'Amazon Resource Name (ARN) d'une ressource de flux de travail Image Builder.
Chiffrez les flux de production d'images à l'aide d'une clé gérée par le client
Pour ajouter une couche de protection, vous pouvez chiffrer les ressources de votre flux de travail Image Builder avec votre propre clé gérée par le client. Si vous utilisez votre clé gérée par le client pour chiffrer les flux de travail Image Builder que vous créez, vous devez autoriser l'accès dans la politique des clés pour qu'Image Builder utilise votre clé lorsqu'il chiffre et déchiffre les ressources du flux de travail. Vous pouvez supprimer cet accès à tout moment. Cependant, Image Builder n'aura accès à aucun flux de travail déjà chiffré si vous révoquez l'accès à la clé.
Le processus pour autoriser Image Builder à utiliser votre clé gérée par le client comporte deux étapes, comme suit :
Étape 1 : ajouter des autorisations politiques clés pour les flux de travail Image Builder
Pour permettre à Image Builder de chiffrer et de déchiffrer les ressources de flux de travail lorsqu'il crée ou utilise ces flux de travail, vous devez spécifier des autorisations dans la politique de clé KMS.
Cet exemple de politique clé accorde l'accès aux pipelines Image Builder afin de chiffrer les ressources du flux de travail pendant le processus de création et de déchiffrer les ressources du flux de travail pour les utiliser. La politique accorde également l'accès aux principaux administrateurs. Le contexte de chiffrement et la spécification des ressources utilisent un caractère générique pour couvrir toutes les régions dans lesquelles vous disposez de ressources de flux de travail.
Comme condition préalable à l'utilisation de flux de travail par image, vous avez créé un rôle d'exécution de flux de travail IAM qui autorise Image Builder à exécuter des actions de flux de travail. Le principal de la première instruction présenté dans l'exemple de politique clé présenté ici doit spécifier votre rôle d'exécution du flux de travail IAM.
Pour plus d'informations sur les clés gérées par le client, consultez la section Gestion de l'accès aux clés gérées par le client dans le Guide du AWS Key Management Service développeur.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow access to build images with encrypted workflow", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/
YourImageBuilderExecutionRole
" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:imagebuilder:arn": "arn:aws:imagebuilder:*:111122223333
:workflow/*" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333
:root" }, "Action": [ "kms:*" ], "Resource": "arn:aws:kms:*:111122223333
:key/" } ] }
Étape 2 : Accorder un accès clé à votre rôle d'exécution du flux de travail
Le rôle IAM assumé par Image Builder pour exécuter vos flux de travail nécessite l'autorisation d'utiliser votre clé gérée par le client. Sans accès à votre clé, Image Builder ne sera pas en mesure de chiffrer ou de déchiffrer les ressources de votre flux de travail à l'aide de celle-ci.
Modifiez la politique de votre rôle d'exécution du flux de travail pour ajouter la déclaration de politique suivante.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow access to the workflow key", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/key_ID", "Condition": { "StringLike": { "kms:EncryptionContext:aws:imagebuilder:arn": "arn:aws:imagebuilder:*:
111122223333
:workflow/*" } } } ] }
AWS CloudTrail événements pour les flux de production d'images
Les exemples suivants présentent des AWS CloudTrail entrées typiques pour le chiffrement et le déchiffrement des flux de travail d'images stockés avec une clé gérée par le client.
Exemple : GenerateDataKey
Cet exemple montre à quoi peut ressembler un CloudTrail événement lorsqu'Image Builder appelle l'action d' AWS KMS GenerateDataKeyAPI à partir de l'action d'CreateWorkflowAPI Image Builder. Image Builder doit chiffrer un nouveau flux de travail avant de créer la ressource de flux de travail.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "PRINCIPALID1234567890:workflow-role-name",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/workflow-role-name",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "PRINCIPALID1234567890",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-11-21T20:29:31Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "imagebuilder.amazonaws.com"
},
"eventTime": "2023-11-21T20:31:03Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "imagebuilder.amazonaws.com",
"userAgent": "imagebuilder.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:imagebuilder:arn": "arn:aws:imagebuilder:us-west-2:111122223333:workflow/build/sample-encrypted-workflow/1.0.0/*",
"aws-crypto-public-key": "key value
"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:alias/ExampleKMSKey",
"numberOfBytes": 32
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
Exemple : Déchiffrer
Cet exemple montre à quoi peut ressembler un CloudTrail événement lorsqu'Image Builder appelle l'action d' AWS KMS DecryptAPI à partir de l'action d'GetWorkflowAPI Image Builder. Les pipelines Image Builder doivent déchiffrer une ressource de flux de travail avant de pouvoir l'utiliser.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "PRINCIPALID1234567890:workflow-role-name",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/workflow-role-name",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "PRINCIPALID1234567890",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-11-21T20:29:31Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "imagebuilder.amazonaws.com"
},
"eventTime": "2023-11-21T20:34:25Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "imagebuilder.amazonaws.com",
"userAgent": "imagebuilder.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:imagebuilder:arn": "arn:aws:imagebuilder:us-west-2:111122223333:workflow/build/sample-encrypted-workflow/1.0.0/*",
"aws-crypto-public-key": "ABC123def4567890abc12345678/90dE/F123abcDEF+4567890abc123D+ef1=="
}
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLEzzzzz"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
Stockage des données dans Image Builder
Image Builder ne stocke aucun de vos journaux dans le service. Tous les journaux sont enregistrés sur l' EC2 instance Amazon utilisée pour créer l'image ou dans les journaux d'automatisation de Systems Manager.
Confidentialité du trafic interréseau dans Image Builder
Les connexions sont sécurisées entre Image Builder et les sites locaux, entre les régions AZs au sein d'une même AWS région et entre les AWS régions via HTTPS. Il n'existe aucun lien direct entre les comptes.