Protection des données dans AWS OpsWorks CM - AWS OpsWorks
Intégration à AWS Secrets Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans AWS OpsWorks CM

Le AWS modèle de responsabilité partagée modèle de de s'applique à la protection des données dans la gestion des AWS OpsWorks configurations. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. Vous êtes responsable du contrôle de votre contenu hébergé sur cette infrastructure. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité pour Services AWS que vous utilisez. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQ. Pour plus d'informations sur la protection des données en Europe, consultez le AWS Modèle de responsabilité partagée et article de GDPR blog sur le AWS Blog sur la sécurité.

Pour des raisons de protection des données, nous vous recommandons de protéger Compte AWS informations d'identification et configuration des utilisateurs individuels avec AWS IAM Identity Center or AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l'authentification multifactorielle (MFA) pour chaque compte.

  • UtilisezSSL/TLSpour communiquer avec AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Configuration API et enregistrement de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation CloudTrail des sentiers pour capturer AWS activités, voir Travailler avec les CloudTrail sentiers dans le AWS CloudTrail Guide de l'utilisateur.

  • Utiliser AWS solutions de chiffrement, ainsi que tous les contrôles de sécurité par défaut intégrés Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un FIPS point de terminaison. Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec OpsWorks CM ou autre Services AWS à l'aide de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.

Les noms des serveurs OpsWorks CM ne sont pas chiffrés.

OpsWorks CM collecte les données clients suivantes dans le cadre de la création et de la maintenance de votre AWS OpsWorks for Chef Automate and AWS OpsWorks for Puppet Enterprise serveurs.

  • OpsWorks Pour Puppet Enterprise, nous collectons les clés privées que Puppet Enterprise utilise pour permettre la communication entre votre Puppet Master et les nœuds gérés.

  • Dans AWS OpsWorks for Chef Automate, nous collectons les clés privées pour les certificats que vous associez au service si vous utilisez un domaine personnalisé. La clé privée que vous fournissez lorsque vous créez un serveur Chef Automate avec un domaine personnalisé est transmise à votre serveur.

OpsWorks Les serveurs CM stockent votre code de configuration, tel que les livres de recettes Chef ou les modules Puppet Enterprise. Bien que ce code soit stocké dans les sauvegardes du serveur, AWS n'y a pas accès. Ce contenu est crypté et seuls les administrateurs de votre AWS le compte peut y accéder. Nous vous recommandons de sécuriser votre code de configuration Chef ou Puppet en utilisant les protocoles recommandés pour vos référentiels sources. Par exemple, vous pouvez restreindre les autorisations aux référentiels dans AWS CodeCommit, ou suivez les instructions du site GitHub Web pour sécuriser les GitHub référentiels.

OpsWorks CM n'utilise pas le contenu fourni par le client pour maintenir le service ou conserver les journaux des clients. Les journaux relatifs à vos serveurs OpsWorks CM sont stockés dans votre compte, dans des compartiments Amazon S3. Les adresses IP des utilisateurs qui se connectent à vos serveurs OpsWorks CM sont enregistrées par AWS.

Intégration à AWS Secrets Manager

À compter du 3 mai 2021, lorsque vous créez un nouveau serveur dans OpsWorks CM, OpsWorks CM stocke les secrets du serveur dans AWS Secrets Manager. Pour les nouveaux serveurs, les attributs suivants sont stockés sous forme de secrets dans Secrets Manager.

  • Serveur Chef Automate

    • HTTPSclé privée (uniquement les serveurs qui n'utilisent pas de domaine personnalisé)

    • Mot de passe administratif Chef Automate (CHEFAUTOMATE_ ADMIN _ _PASSWORD)

  • Puppet Enterprise Master

    • HTTPSclé privée (uniquement les serveurs qui n'utilisent pas de domaine personnalisé)

    • Mot de passe administratif de Puppet (PUPPET_ ADMIN _PASSWORD)

    • Télécommande Puppet r10k (_R10K_) PUPPET REMOTE

Pour les serveurs existants qui n'utilisent pas de domaine personnalisé, le seul secret stocké dans Secrets Manager, pour les serveurs Chef Automate et Puppet Enterprise, est la clé HTTPS privée, car elle est générée lors de la maintenance automatique hebdomadaire du système.

OpsWorks CM stocke automatiquement les secrets dans Secrets Manager, et ce comportement n'est pas configurable par l'utilisateur.