Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans le domaine de la cryptographie des AWS paiements
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :
+ **Sécurité du cloud** :AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à la cryptographie des AWS paiements, consultez la section [Services AWS concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** : votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette rubrique vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation de la cryptographie des AWS paiements. Il vous explique comment configurer le chiffrement des AWS paiements pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources de cryptographie des AWS paiements.
**Topics**
+ [Protection des données](data-protection.md)
+ [Résilience](resilience.md)
+ [Sécurité de l’infrastructure](infrastructure-security.md)
+ [Utiliser Amazon VPC et AWS PrivateLink](vpc-endpoint.md)
+ [TLS post-quantique hybride](pqtls.md)
+ [Bonnes pratiques de sécurité](security-best-practices.md)
# Protection des données dans le cadre de la cryptographie des AWS paiements
Le modèle de [responsabilité AWS partagée Le modèle](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans le domaine de la cryptographie des AWS paiements. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec AWS Payment Cryptography ou autre à Services AWS l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
AWS Payment Cryptography stocke et protège vos clés de chiffrement des paiements afin de les rendre hautement disponibles tout en vous fournissant un contrôle d'accès solide et flexible.
**Topics**
+ [Protection des éléments de clé](#key-protection)
+ [Chiffrement des données](#data-encryption)
+ [Chiffrement au repos](#encryption-rest)
+ [Chiffrement en transit](#encryption-transit)
+ [Confidentialité du trafic inter-réseau](#internetwork)
## Protection des éléments de clé
Par défaut, AWS Payment Cryptography protège le contenu des clés cryptographiques pour les clés de paiement gérées par le service. En outre, AWS Payment Cryptography propose des options pour importer des éléments clés créés en dehors du service. Pour obtenir des informations techniques sur les clés de paiement et les éléments clés, consultez les détails cryptographiques d'AWS Payment Cryptography.
## Chiffrement des données
Les données d'AWS Payment Cryptography comprennent les clés de chiffrement des paiements AWS, le contenu des clés de chiffrement qu'elles représentent et leurs attributs d'utilisation. Le contenu clé n'existe en texte clair que dans les modules de sécurité matériels d'AWS Payment Cryptography (HSMs) et uniquement lorsqu'ils sont utilisés. Dans le cas contraire, le matériel et les attributs clés sont chiffrés et stockés dans un stockage persistant durable.
Les éléments clés générés ou chargés par AWS Payment Cryptography pour les clés de paiement ne quittent jamais les limites d'AWS Payment Cryptography HSMs sans être chiffrés. Il peut être exporté chiffré par les opérations de l'API AWS Payment Cryptography.
## Chiffrement au repos
AWS Payment Cryptography génère des informations clés pour les clés de paiement répertoriées par PCI PTS HSM. HSMs Lorsqu'ils ne sont pas utilisés, les éléments de clé sont chiffrés par une clé HSM et écrits dans un stockage permanent et persistant. Le matériel clé pour les clés de cryptographie de paiement et les clés de chiffrement qui protègent le matériel clé ne le HSMs quittent jamais sous forme de texte clair.
Le chiffrement et la gestion des éléments clés pour les clés de chiffrement des paiements sont entièrement gérés par le service.
Pour plus de détails, consultez les détails cryptographiques d'AWS Key Management Service.
## Chiffrement en transit
Les éléments clés générés ou chargés AWS par Payment Cryptography pour les clés de paiement ne sont jamais exportés ou transmis dans le cadre des opérations de l'API AWS Payment Cryptography en texte clair. AWS La cryptographie des paiements utilise des identifiants de clé pour représenter les clés dans les opérations d'API.
Cependant, certaines opérations d'API exportent des clés chiffrées par une clé d'échange de clés précédemment partagée ou asymétrique. Les clients peuvent également utiliser les opérations de l'API pour importer des informations clés cryptées pour les clés de paiement.
Tous les appels de l'API de cryptographie des AWS paiements doivent être signés et transmis à l'aide du protocole TLS (Transport Layer Security). AWS La cryptographie des paiements nécessite des versions TLS et des suites de chiffrement définies par la norme PCI comme une « cryptographie forte ». Tous les points de terminaison de service prennent en charge le protocole TLS 1.2—1.3 et le protocole TLS post-quantique hybride.
Pour plus de détails, consultez les détails cryptographiques d'AWS Key Management Service.
## Confidentialité du trafic inter-réseau
AWS Payment Cryptography prend en charge une console de gestion AWS et un ensemble d'opérations d'API qui vous permettent de créer et de gérer des clés de paiement et de les utiliser dans des opérations cryptographiques.
AWS La cryptographie des paiements prend en charge deux options de connectivité réseau entre votre réseau privé et AWS.
+ Une connexion IPSec VPN sur Internet.
+ AWS Direct Connect, qui relie votre réseau interne à un site AWS Direct Connect via un câble Ethernet à fibre optique standard.
Tous les appels de l'API de cryptographie des paiements doivent être signés et transmis à l'aide du protocole TLS (Transport Layer Security). Les appels nécessitent également une suite de chiffrement moderne qui prend en charge une confidentialité persistante et parfaite. Le trafic vers les modules de sécurité matériels (HSMs) qui stockent les éléments clés pour les clés de paiement est autorisé uniquement à partir d'hôtes d'API AWS Payment Cryptography connus sur le réseau interne d'AWS.
Pour vous connecter directement à AWS Payment Cryptography depuis votre cloud privé virtuel (VPC) sans envoyer de trafic via l'Internet public, utilisez des points de terminaison VPC optimisés par AWS. PrivateLink Pour plus d'informations, consultez Connexion à AWS Payment Cryptography via un point de terminaison VPC.
AWS Payment Cryptography prend également en charge une option hybride d'échange de clés post-quantique pour le protocole de chiffrement réseau TLS (Transport Layer Security). Vous pouvez utiliser cette option avec le protocole TLS lorsque vous vous connectez aux points de terminaison de l'API AWS Payment Cryptography.
# Résilience dans la cryptographie des AWS paiements
AWS l'infrastructure mondiale est construite autour AWS des régions et des zones de disponibilité. Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseau à latence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS mondiale](https://aws.amazon.com/about-aws/global-infrastructure/).
## Isolement régional
AWS Payment Cryptography est un service régional disponible dans plusieurs régions.
La conception isolée par région d'AWS Payment Cryptography garantit qu'un problème de disponibilité dans une région AWS ne peut affecter le fonctionnement d'AWS Payment Cryptography dans aucune autre région. AWS Payment Cryptography est conçu pour garantir l'absence d'interruption planifiée, toutes les mises à jour logicielles et les opérations de dimensionnement étant effectuées de manière fluide et imperceptible.
Le contrat de niveau de service (SLA) d'AWS Payment Cryptography inclut un engagement de service de 99,99 % pour l'ensemble de la cryptographie des paiements. APIs Pour respecter cet engagement, AWS Payment Cryptography garantit que toutes les données et informations d'autorisation requises pour exécuter une demande d'API sont disponibles sur tous les hôtes régionaux qui reçoivent la demande.
L'infrastructure de chiffrement des paiements AWS est répliquée dans au moins trois zones de disponibilité (AZs) dans chaque région. Pour garantir que les défaillances de plusieurs hôtes n'affectent pas les performances d'AWS Payment Cryptography, AWS Payment Cryptography est conçu pour gérer le trafic client depuis n'importe quelle AZs région.
Les modifications que vous apportez aux propriétés ou aux autorisations d'une clé de paiement sont reproduites sur tous les hôtes de la région afin de garantir que les demandes ultérieures puissent être traitées correctement par tous les hôtes de la région. Les demandes d'opérations cryptographiques utilisant votre clé de paiement sont transmises à une flotte de modules de sécurité matériels AWS Payment Cryptography (HSMs), chacun d'entre eux pouvant effectuer l'opération avec la clé de paiement.
## Conception à locataires multiples
La conception mutualisée d'AWS Payment Cryptography lui permet de respecter le SLA de disponibilité et de maintenir des taux de demandes élevés, tout en protégeant la confidentialité de vos clés et de vos données.
Plusieurs mécanismes de renforcement de l'intégrité sont déployés pour garantir que la clé de paiement que vous avez spécifiée pour l'opération cryptographique est toujours celle qui est utilisée.
Le contenu clé en texte clair de vos clés de cryptographie de paiement est largement protégé. Le matériel clé est crypté dans le HSM dès sa création, et le matériel clé crypté est immédiatement transféré vers un stockage sécurisé. La clé chiffrée est récupérée et déchiffrée dans le HSM juste à temps pour être utilisée. La clé en texte clair reste dans la mémoire HSM uniquement pendant le temps nécessaire à la réalisation de l'opération cryptographique. Le contenu clé en texte brut ne quitte jamais le HSMs ; il n'est jamais écrit dans un stockage permanent.
Pour plus d'informations sur les mécanismes utilisés par AWS Payment Cryptography pour sécuriser vos clés, consultez les détails cryptographiques d'AWS Payment Cryptography.
# Sécurité de l'infrastructure dans AWS Payment Cryptography
En tant que service géré, AWS Payment Cryptography il est protégé par les procédures de sécurité du réseau AWS mondial décrites dans le livre blanc [Amazon Web Services : présentation des processus de sécurité](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Vous utilisez des appels d'API AWS publiés pour accéder AWS Payment Cryptography via le réseau. Les clients doivent prendre en charge le protocole TLS (Transport Layer Security) 1.2 ou version ultérieure. Les clients doivent aussi prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.
## Isolement des hôtes physiques
La sécurité de l'infrastructure physique utilisée par AWS Payment Cryptography est soumise aux contrôles décrits dans la section Sécurité physique et environnementale d'Amazon Web Services : présentation des processus de sécurité. Vous trouverez plus de détails dans les rapports de conformité et les résultats d'audit tiers répertoriés dans la section précédente.
Le chiffrement des paiements AWS est pris en charge par des modules de sécurité matériels dédiés certifiés commercial-off-the-shelf PCI PTS HSM (). HSMs Le contenu clé des clés de cryptographie de paiement AWS est stocké uniquement dans la mémoire volatile du HSMs, et uniquement pendant que la clé de cryptographie de paiement est utilisée. HSMs se trouvent dans des racks à accès contrôlé au sein des centres de données Amazon qui appliquent un double contrôle pour tout accès physique. Pour obtenir des informations détaillées sur le fonctionnement d'AWS Payment Cryptography HSMs, consultez la section Détails cryptographiques d'AWS Payment Cryptography.
# Connexion à la cryptographie des AWS paiements via un point de terminaison VPC
Vous pouvez vous connecter directement à AWS Payment Cryptography via un point de terminaison d'interface privée dans votre cloud privé virtuel (VPC). Lorsque vous utilisez un point de terminaison VPC d'interface, la communication entre votre VPC et AWS Payment Cryptography s'effectue entièrement au sein du réseau. AWS
AWS Payment Cryptography prend en charge les points de terminaison Amazon Virtual Private Cloud (Amazon VPC) alimentés par. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Chaque point de terminaison VPC est représenté par une ou plusieurs [interfaces réseau élastiques](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENIs) avec des adresses IP privées dans vos sous-réseaux VPC.
Le point de terminaison VPC de l'interface connecte votre VPC directement à AWS Payment Cryptography sans passerelle Internet, périphérique NAT, connexion VPN ou connexion. AWS Direct Connect Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec AWS Payment Cryptography.
**Régions**
AWS La cryptographie des paiements prend en charge les points de terminaison VPC et les politiques des points de terminaison VPC Régions AWS dans tous les cas où la cryptographie des paiements est prise [AWS en](https://docs.aws.amazon.com/general/latest/gr/payment-cryptography.html) charge.
**Topics**
+ [Considérations relatives aux points de terminaison VPC de cryptographie des AWS paiements](#vpce-considerations)
+ [Création d'un point de terminaison VPC pour AWS la cryptographie des paiements](#vpce-create-endpoint)
+ [Connexion à un point de AWS terminaison VPC de chiffrement des paiements](#vpce-connect)
+ [Contrôle de l'accès à votre point de terminaison d'un VPC](#vpce-policy)
+ [Utilisation d'un point de terminaison VPC dans une déclaration de politique](#vpce-policy-condition)
+ [Journalisation de votre point de terminaison d'un VPC](#vpce-logging)
## Considérations relatives aux points de terminaison VPC de cryptographie des AWS paiements
**Note**
Bien que les points de terminaison VPC vous permettent de vous connecter au service dans une seule zone de disponibilité (AZ), nous vous recommandons de vous connecter à trois zones de disponibilité pour des raisons de haute disponibilité et de redondance.
*Avant de configurer un point de terminaison VPC d'interface pour le chiffrement des AWS paiements, consultez la rubrique [Propriétés et limites du point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) dans le Guide.AWS PrivateLink *
AWS La prise en charge de la cryptographie des paiements pour un point de terminaison VPC inclut les éléments suivants.
+ Vous pouvez utiliser votre point de terminaison VPC pour appeler toutes les opérations du plan de [contrôle de cryptographie des AWS paiements et toutes les opérations du plan](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_Operations.html) de [données AWS de cryptographie des paiements depuis un](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_Operations.html) VPC.
+ Vous pouvez créer un point de terminaison VPC d'interface qui se connecte à un point de terminaison de région AWS de cryptographie des paiements.
+ AWS La cryptographie des paiements comprend un plan de contrôle et un plan de données. Vous pouvez choisir de configurer un ou les deux sous-services AWS PrivateLink , mais chacun est configuré séparément.
+ Vous pouvez utiliser AWS CloudTrail les journaux pour vérifier votre utilisation des clés de chiffrement des AWS paiements via le point de terminaison VPC. Pour en savoir plus, consultez [Journalisation de votre point de terminaison d'un VPC](#vpce-logging).
## Création d'un point de terminaison VPC pour AWS la cryptographie des paiements
Vous pouvez créer un point de terminaison VPC pour le chiffrement des AWS paiements à l'aide de la console Amazon VPC ou de l'API Amazon VPC. Pour plus d’informations, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) dans le *Guide AWS PrivateLink *.
+ Pour créer un point de terminaison VPC pour le chiffrement des AWS paiements, utilisez les noms de service suivants :
```
com.amazonaws.region.payment-cryptography.controlplane
```
```
com.amazonaws.region.payment-cryptography.dataplane
```
Par exemple, dans la région de l'ouest des États-Unis (Oregon) (`us-west-2`), les noms des services seraient les suivants :
```
com.amazonaws.us-west-2.payment-cryptography.controlplane
```
```
com.amazonaws.us-west-2.payment-cryptography.dataplane
```
Pour faciliter l'utilisation du point de terminaison de VPC, vous pouvez activer un [nom DNS privé](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) pour votre point de terminaison d'un VPC. Si vous sélectionnez l'option **Activer le nom DNS**, le nom d'hôte DNS standard AWS de chiffrement des paiements correspond à votre point de terminaison VPC. Par exemple, `https://controlplane.payment-cryptography.us-west-2.amazonaws.com` serait résolu vers un point de terminaison d'un VPC connecté au nom du service `com.amazonaws.us-west-2.payment-cryptography.controlplane`.
Cette option facilite l'utilisation du point de terminaison d'un VPC. Les AWS SDKs et AWS CLI utilisent le nom d'hôte DNS standard AWS Payment Cryptography par défaut. Vous n'avez donc pas besoin de spécifier l'URL du point de terminaison VPC dans les applications et les commandes.
Pour de plus amples informations, veuillez consulter [Accès à un service via un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) dans le *Guide AWS PrivateLink *.
## Connexion à un point de AWS terminaison VPC de chiffrement des paiements
Vous pouvez vous connecter à AWS Payment Cryptography via le point de terminaison VPC à l'aide d' AWS un SDK, du ou. AWS CLI Outils AWS pour PowerShell Pour spécifier le point de terminaison VPC, utilisez son nom DNS.
Par exemple, cette commande [list-keys](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/list-keys.html) utilise le paramètre `endpoint-url` pour indiquer le point de terminaison VPC. Pour utiliser une commande comme celle-ci, remplacez l'exemple d'ID de point de terminaison VPC par celui de votre compte.
```
$ aws payment-cryptography list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
```
Si vous avez activé les noms d'hôte privés lorsque vous avez créé votre point de terminaison VPC, vous n'avez pas besoin de spécifier l'URL de point de terminaison VPC dans vos commandes de CLI ou dans la configuration de l'application. Le nom d'hôte DNS standard AWS de cryptographie des paiements correspond à votre point de terminaison VPC. Le AWS CLI et SDKs utilisez ce nom d'hôte par défaut, afin que vous puissiez commencer à utiliser le point de terminaison VPC pour vous connecter à AWS un point de terminaison régional de cryptographie des paiements sans rien modifier dans vos scripts et applications.
Pour utiliser des noms d'hôte privés, les attributs `enableDnsHostnames` et `enableDnsSupport` de votre VPC doivent avoir la valeur `true`. Pour définir ces attributs, utilisez l'[ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html)opération. Pour plus d'informations, veuillez consulter [Afficher et mettre à jour les attributs DNS pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) dans le *Guide de l'utilisateur Amazon VPC*.
## Contrôle de l'accès à votre point de terminaison d'un VPC
Pour contrôler l'accès à votre point de terminaison VPC pour le chiffrement des AWS paiements, associez une *politique de point de terminaison VPC à votre point de terminaison VPC*. La politique de point de terminaison détermine si les principaux peuvent utiliser le point de terminaison VPC pour AWS appeler des opérations de cryptographie de paiement avec des ressources de cryptographie de paiement AWS spécifiques.
Vous pouvez créer une politique de point de terminaison VPC lorsque vous créez votre point de terminaison, et vous pouvez modifier la politique de point de terminaison d'un VPC à tout moment. Utilisez la console de gestion VPC ou les opérations [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)or [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html). Vous pouvez également créer et modifier une politique de point de terminaison VPC à [l'aide d'un AWS CloudFormation modèle](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html). Pour obtenir de l'aide sur l'utilisation de la console de gestion de VPC, veuillez consulter [Créer un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) et [Modification d'un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint) dans le *AWS PrivateLink Guide *.
Pour obtenir de l'aide sur la rédaction et la mise en forme d'un document de politique JSON, veuillez consulter [Référence de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.
**Topics**
+ [À propos des politiques de point de terminaison d'un VPC](#vpce-policy-about)
+ [Politique de point de terminaison d'un VPC par défaut](#vpce-default-policy)
+ [Création d’une stratégie de point de terminaison de VPC](#vpce-policy-create)
+ [Affichage d'une politique de point de terminaison d'un VPC](#vpce-policy-get)
### À propos des politiques de point de terminaison d'un VPC
Pour qu'une demande AWS de cryptographie de paiement utilisant un point de terminaison VPC aboutisse, le principal doit obtenir des autorisations provenant de deux sources :
+ Une [politique basée sur l'identité](security_iam_id-based-policy-examples.md) doit autoriser le principal à appeler l'opération sur la ressource (clés de chiffrement des AWS paiements ou alias).
+ Une politique de point de terminaison d'un VPC doit accorder au principal l'autorisation d'utiliser le point de terminaison pour effectuer la demande.
Par exemple, une politique de clés peut autoriser un principal à appeler [Decrypt](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html) sur une clé de cryptographie AWS de paiement particulière. Cependant, la politique du point de terminaison du VPC peut ne pas autoriser ce principal à faire appel à ces clés de cryptographie de AWS paiement en utilisant `Decrypt` le point de terminaison.
Une politique de point de terminaison VPC peut également autoriser un principal à utiliser le point de terminaison pour appeler [StopKeyUsage](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html)certaines clés de cryptographie AWS de paiement. Mais si le principal ne dispose pas de ces autorisations dans le cadre d'une politique IAM, la demande échoue.
### Politique de point de terminaison d'un VPC par défaut
Chaque point de terminaison d'un VPC dispose d'une politique de point de terminaison d'un VPC, mais vous n'êtes pas tenu de spécifier la politique. Si vous ne spécifiez pas de politique, la politique de point de terminaison par défaut autorise toutes les opérations effectuées par tous les principaux sur toutes les ressources du point de terminaison.
Toutefois, pour les ressources AWS de cryptographie des paiements, le principal doit également être autorisé à appeler l'opération à partir d'une politique [IAM](security_iam_id-based-policy-examples.md). Par conséquent, en pratique, la politique par défaut indique que si un principal a l'autorisation d'appeler une opération sur une ressource, il peut également l'appeler à l'aide du point de terminaison.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Pour permettre aux principaux d'utiliser le point de terminaison d'un VPC uniquement pour un sous-ensemble de leurs opérations autorisées, [créez ou mettre à jour la politique de point de terminaison d'un VPC](#vpce-policy-create).
### Création d’une stratégie de point de terminaison de VPC
Une politique de point de terminaison d'un VPC détermine si un principal a l'autorisation d'utiliser le point de terminaison d'un VPC pour effectuer des opérations sur une ressource. Pour les ressources de cryptographie des AWS paiements, le principal doit également être autorisé à effectuer les opérations conformément à une politique [IAM](security_iam_id-based-policy-examples.md).
Chaque instruction de politique de point de terminaison d'un VPC nécessite les éléments suivants :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
L'instruction de politique ne spécifie pas le point de terminaison d'un VPC. Au lieu de cela, elle s'applique à tout point de terminaison d'un VPC auquel la politique est attachée. Pour plus d’informations, consultez [Contrôle de l’accès aux services avec points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dans le *Guide de l’utilisateur Amazon VPC*.
Voici un exemple de politique de point de terminaison VPC pour la cryptographie des AWS paiements. Lorsqu'il est connecté à un point de terminaison VPC, cette politique permet d'`ExampleUser`utiliser le point de terminaison VPC pour appeler les opérations spécifiées sur les clés de cryptographie de paiement spécifiées AWS . Avant d'utiliser une politique comme celle-ci, remplacez l'exemple d'[identifiant principal et de clé](concepts.md#concepts.key-identifer) par des valeurs valides provenant de votre compte.
```
{
"Statement":[
{
"Sid": "AllowDecryptAndView",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/ExampleUser"},
"Effect":"Allow",
"Action": [
"payment-cryptography:Decrypt",
"payment-cryptography:GetKey",
"payment-cryptography:ListAliases",
"payment-cryptography:ListKeys",
"payment-cryptography:GetAlias"
],
"Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"
}
]
}
```
AWS CloudTrail enregistre toutes les opérations qui utilisent le point de terminaison VPC. Toutefois, vos CloudTrail journaux n'incluent pas les opérations demandées par les principaux sur d'autres comptes ni les opérations relatives aux clés de chiffrement des AWS paiements sur d'autres comptes.
Ainsi, vous souhaiterez peut-être créer une politique de point de terminaison VPC qui empêche les principaux titulaires de comptes externes d'utiliser le point de terminaison VPC pour appeler des opérations de cryptographie de AWS paiement sur n'importe quelle clé du compte local.
L'exemple suivant utilise la clé de condition PrincipalAccount globale [aws :](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) pour refuser l'accès à tous les principaux pour toutes les opérations sur toutes les clés de chiffrement des AWS paiements, sauf si le principal se trouve sur le compte local. Avant d'utiliser une politique comme celle-ci, remplacez l'ID de compte d'exemple par un ID valide.
```
{
"Statement": [
{
"Sid": "AccessForASpecificAccount",
"Principal": {"AWS": "*"},
"Action": "payment-cryptography:*",
"Effect": "Deny",
"Resource": "arn:aws:payment-cryptography:*:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
### Affichage d'une politique de point de terminaison d'un VPC
Pour consulter la politique de point de terminaison VPC d'un point de terminaison, utilisez la [console de gestion du VPC ou](https://console.aws.amazon.com/vpc/) l'opération. [DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html)
La AWS CLI commande suivante obtient la politique du point de terminaison avec l'ID de point de terminaison VPC spécifié.
Avant d'utiliser cette commande, remplacez l'exemple d'ID de point de terminaison d'exemple par un ID valide provenant de votre compte.
```
$ aws ec2 describe-vpc-endpoints \
--query 'VpcEndpoints[?VpcEndpointId==`vpce-1234abcdf5678c90a`].[PolicyDocument]'
--output text
```
## Utilisation d'un point de terminaison VPC dans une déclaration de politique
Vous pouvez contrôler l'accès aux ressources et aux opérations de cryptographie des AWS paiements lorsque la demande provient d'un VPC ou utilise un point de terminaison VPC. Pour ce faire, utilisez une politique [IAM](security_iam_id-based-policy-examples.md)
+ Utilisez la clé de condition `aws:sourceVpce` pour accorder ou restreindre l'accès en fonction du point de terminaison d'un VPC.
+ Utilisez la clé de condition `aws:sourceVpc` pour accorder ou restreindre l'accès en fonction du VPC qui héberge le point de terminaison privé.
**Note**
La clé de `aws:sourceIP` condition n'est pas effective lorsque la demande provient d'un point de [terminaison Amazon VPC.](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) Pour restreindre les requêtes à un point de terminaison VPC, utilisez les clés de condition `aws:sourceVpce` ou `aws:sourceVpc`. Pour de plus amples informations, veuillez consulter [Gestion des identités et des accès pour les points de terminaison d'un VPC et les services de points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) dans le *Guide AWS PrivateLink *.
Vous pouvez utiliser ces clés de condition globales pour contrôler l'accès aux clés de chiffrement des AWS paiements, aux alias et aux opérations de [CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey.html)ce type qui ne dépendent d'aucune ressource en particulier.
Par exemple, l'exemple de politique de clé suivant permet à un utilisateur d'effectuer des opérations cryptographiques particulières avec des clés de cryptographie de AWS paiement uniquement lorsque la demande utilise le point de terminaison VPC spécifié, bloquant ainsi l'accès à la fois depuis Internet et les AWS PrivateLink connexions (si elles sont configurées). Lorsqu'un utilisateur fait une demande à AWS Payment Cryptography, l'ID du point de terminaison VPC figurant dans la demande est comparé à la valeur de `aws:sourceVpce` la clé de condition indiquée dans la politique. S'il n'y a pas de concordance, la requête est refusée.
Pour utiliser une politique comme celle-ci, remplacez l' Compte AWS identifiant réservé et le point de IDs terminaison VPC par des valeurs valides pour votre compte.
------
#### [ JSON ]
****
```
{
"Id": "example-key-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableIAMPolicies",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": [
"payment-cryptography:*"
],
"Resource": "*"
},
{
"Sid": "RestrictUsageToMyVPCEndpoint",
"Effect": "Deny",
"Principal": "*",
"Action": [
"payment-cryptography:EncryptData",
"payment-cryptography:DecryptData"
],
"Resource": "arn:aws:payment-cryptography:us-east-1:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1234abcdf5678c90a"
}
}
}
]
}
```
------
Vous pouvez également utiliser la clé de `aws:sourceVpc` condition pour restreindre l'accès à vos clés de cryptographie de AWS paiement en fonction du VPC dans lequel réside le point de terminaison du VPC.
L'exemple de politique de clé suivant autorise les commandes qui gèrent les clés de cryptographie des AWS paiements uniquement lorsqu'elles proviennent`vpc-12345678`. En outre, il autorise les commandes qui utilisent les clés de cryptographie des AWS paiements pour les opérations cryptographiques uniquement lorsqu'elles proviennent de. `vpc-2b2b2b2b` Vous pouvez utiliser politique comme celle-ci si une application est en cours d'exécution dans un VPC, mais que vous utilisez un second VPC isolé pour les fonctions de gestion.
Pour utiliser une politique comme celle-ci, remplacez l' Compte AWS identifiant réservé et le point de IDs terminaison VPC par des valeurs valides pour votre compte.
------
#### [ JSON ]
****
```
{
"Id": "example-key-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAdminActionsFromVPC12345678",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:Create*",
"payment-cryptography:Encrypt*",
"payment-cryptography:ImportKey*",
"payment-cryptography:GetParametersForImport*",
"payment-cryptography:TagResource",
"payment-cryptography:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "AllowKeyUsageFromVPC2b2b2b2b",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:Encrypt*",
"payment-cryptography:Decrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-2b2b2b2b"
}
}
},
{
"Sid": "AllowListReadActionsFromEverywhere",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:List*",
"payment-cryptography:Get*"
],
"Resource": "*"
}
]
}
```
------
## Journalisation de votre point de terminaison d'un VPC
AWS CloudTrail enregistre toutes les opérations qui utilisent le point de terminaison VPC. Lorsqu'une demande adressée à AWS Payment Cryptography utilise un point de terminaison VPC, l'ID du point de terminaison VPC apparaît dans [AWS CloudTrail l'entrée du journal qui enregistre la](monitoring-cloudtrail.md) demande. Vous pouvez utiliser l'identifiant du point de terminaison pour vérifier l'utilisation de votre point de terminaison VPC AWS Payment Cryptography.
Pour protéger votre VPC, les demandes refusées par une [politique de point de terminaison du VPC](#vpce-policy), mais qui auraient autrement été autorisées, ne sont pas enregistrées dans. [AWS CloudTrail](monitoring-cloudtrail.md)
Par exemple, cet exemple d'entrée de journal enregistre une requête [GenerateMac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateMac.html) qui utilise le point de terminaison d'un VPC. Le champ `vpcEndpointId` apparaît à la fin de l'entrée de journal.
```
{
"eventVersion": "1.08",
"userIdentity": {
"principalId": "TESTXECZ5U9M4LGF2N6Y5:i-98761b8890c09a34a",
"arn": "arn:aws:sts::111122223333:assumed-role/samplerole/i-98761b8890c09a34a",
"accountId": "111122223333",
"accessKeyId": "TESTXECZ5U2ZULLHHMJG",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTXECZ5U9M4LGF2N6Y5",
"arn": "arn:aws:iam::111122223333:role/samplerole",
"accountId": "111122223333",
"userName": "samplerole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-27T19:34:10Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2024-05-27T19:49:54Z",
"eventSource": "payment-cryptography.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.31.85.253",
"userAgent": "aws-cli/2.14.5 Python/3.9.16 Linux/6.1.79-99.167.amzn2023.x86_64 source/x86_64.amzn.2023 prompt/off command/payment-cryptography.create-key",
"requestParameters": {
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"exportable": true
},
"responseElements": {
"key": {
"keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"keyCheckValue": "A486ED",
"keyCheckValueAlgorithm": "ANSI_X9_24",
"enabled": true,
"exportable": true,
"keyState": "CREATE_COMPLETE",
"keyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"createTimestamp": "May 27, 2024, 7:49:54 PM",
"usageStartTimestamp": "May 27, 2024, 7:49:54 PM"
}
},
"requestID": "f3020b3c-4e86-47f5-808f-14c7a4a99161",
"eventID": "b87c3d30-f3ab-4131-87e8-bc54cfef9d29",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"vpcEndpointId": "vpce-1234abcdf5678c90a",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "vpce-1234abcdf5678c90a-oo28vrvr.controlplane.payment-cryptography.us-east-1.vpce.amazonaws.com"
}
}
```
# Utilisation du TLS post-quantique hybride
AWS La cryptographie des paiements et de nombreux autres services prennent en charge une option hybride d'échange de clés post-quantique pour le protocole de cryptage réseau TLS (Transport Layer Security). Vous pouvez utiliser cette option TLS lorsque vous vous connectez à des points de terminaison d'API ou lorsque vous utilisez AWS. SDKs Ces fonctionnalités optionnelles d'échange de clés post-quantiques hybrides sont au moins aussi sécurisées que le chiffrement TLS que nous utilisons aujourd'hui et sont susceptibles d'offrir des avantages supplémentaires en matière de sécurité à long terme.
Les données que vous envoyez aux services activés sont protégées en transit par le chiffrement fourni par une connexion TLS (Transport Layer Security). Les suites de chiffrement classiques basées sur RSA et ECC prises en charge par AWS Payment Cryptography pour les sessions TLS rendent les attaques par force brute contre les mécanismes d'échange de clés irréalisables avec la technologie actuelle. Toutefois, si les ordinateurs quantiques à grande échelle ou présentant un intérêt cryptographique (CRQC) deviennent pratiques à l'avenir, les mécanismes d'échange de clés TLS existants seront vulnérables à ces attaques. Il est possible que des adversaires commencent à récolter des données cryptées dès maintenant dans l'espoir de pouvoir les déchiffrer à l'avenir (récolter maintenant, déchiffrer plus tard). Si vous développez des applications qui reposent sur la confidentialité à long terme des données transmises via une connexion TLS, vous devriez envisager de migrer vers la cryptographie post-quantique avant que des ordinateurs quantiques à grande échelle ne soient disponibles. AWS travaille à préparer ce futur, et nous voulons que vous soyez également bien préparés.
![\[Adversaire ayant déjà enregistré une session TLS. Des années plus tard, lorsque l'adversaire possède un CRQC, il peut d'abord récupérer la clé de session en interrompant l'échange de clés classique à l'aide du CRQC. L'adversaire peut ensuite déchiffrer les données à l'aide de la clé de session découverte. Les données précédemment transmises, si elles sont toujours précieuses, sont désormais compromises.\]](http://docs.aws.amazon.com/fr_fr/payment-cryptography/latest/userguide/images/pqtls-risk2.png)
*Afin de protéger les données chiffrées aujourd'hui contre d'éventuelles attaques futures, AWS participe avec la communauté cryptographique au développement d'algorithmes résistants aux quanta ou post-quantiques.* AWS a mis en œuvre des suites de chiffrement *hybrides* à échange de clés post-quantique qui combinent des éléments classiques et post-quantiques afin de garantir que votre connexion TLS est au moins aussi solide qu'elle le serait avec les suites de chiffrement classiques.
Ces suites de chiffrement hybrides peuvent être utilisées sur vos charges de travail de production lorsque vous utilisez des versions récentes d'AWS. SDKs Pour plus d'informations sur la façon de enable/disable procéder à ce comportement, veuillez consulter [Activer le TLS post-quantique hybride](pqtls-details.md)
![\[Une session TLS sécurisée à la fois à l'aide d'un accord de clé classique et d'un accord de clé post-quantique. Aujourd'hui, un adversaire ne peut pas rompre la partie classique de l'accord clé. Si l'adversaire enregistre les données et tente de les déchiffrer à l'avenir avec un CRQC, l'accord de clé post-quantique protège la clé de session. Ainsi, les données transmises aujourd'hui restent protégées contre toute découverte, même à l'avenir. C'est pourquoi le TLS post-quantique hybride est important aujourd'hui.\]](http://docs.aws.amazon.com/fr_fr/payment-cryptography/latest/userguide/images/pqtls-mitigation.png)
## À propos de l'échange de clés post-quantiques hybrides dans TLS
[Les algorithmes AWS utilisés sont des algorithmes *hybrides* qui combinent [Elliptic Curve Diffie-Hellman](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH), un algorithme d'échange de clés classique utilisé aujourd'hui dans le TLS, avec le [mécanisme d'encapsulation de clés basé sur un réseau de modules](https://csrc.nist.gov/pubs/fips/203/final) (), un algorithme de chiffrement à clé publique et d'établissement de clés que le National Institute for Standards and Technology (NISTML-KEM) a désigné comme son premier algorithme standard d'accord de clé post-quantique.](https://csrc.nist.gov/pubs/fips/203/final) Ce mécanisme hybride utilise chacun des algorithmes indépendamment pour générer une clé. Ensuite, il combine les deux clés cryptographiquement.
## En savoir plus sur le PQC
Pour de plus amples informations sur le projet de chiffrement post-quantique du National Institute for Standards and Technology (NIST), veuillez consulter [Chiffrement post-quantique](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography).
Pour plus d'informations sur la normalisation du chiffrement post-quantique par le NIST, consultez la page [Post-Quantum Cryptography Standardization](https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization) (Normalisation du chiffrement post-quantique).
# Activer le TLS post-quantique hybride
AWS SDKs et ses outils disposent de fonctionnalités et de configurations cryptographiques qui varient en fonction du langage et de l'environnement d'exécution. Un SDK ou un outil AWS fournit actuellement le support PQ TLS de trois manières :
**Topics**
+ [SDKs avec PQ TLS activé par défaut](#pq-tls-default)
+ [Optez pour le support PQ TLS](#pq-tls-opt-in)
+ [SDKs qui s'appuient sur le système OpenSSL](#pq-tls-open-ssl)
+ [AWS SDKs et ses outils ne prévoient pas de prendre en charge le protocole PQ TLS](#pq-tls-nosupport)
## SDKs avec PQ TLS activé par défaut
**Note**
Depuis le 6 novembre 2025, le SDK AWS et ses bibliothèques CRT sous-jacentes pour macOS et Windows utilisent des bibliothèques système pour TLS. Les fonctionnalités PQ TLS sur ces plateformes sont donc généralement déterminées par le support au niveau du système.
### Kit AWS SDK pour Go
Le SDK AWS pour Go utilise la propre implémentation TLS de Golang fournie par sa bibliothèque standard. Golang prend en charge et préfère PQ TLS à partir de la version v1.24. Les utilisateurs du SDK AWS pour Go peuvent donc activer PQ TLS en mettant simplement à niveau Golang vers la version v1.24
### SDK AWS pour JavaScript (navigateur)
Le SDK AWS pour JavaScript (navigateur) utilise la pile TLS du navigateur. Le SDK négociera donc le protocole TLS PQ si le moteur d'exécution du navigateur le prend en charge et le préfère. Firefox a lancé le support de PQ TLS dans la version 132.0. Chrome a annoncé la prise en charge de PQ TLS dans la version 131. Edge prend en charge le protocole PQ TLS opt-in dans la version 120 pour ordinateur de bureau et dans la version 140 pour Android.
### Kit SDK AWS pour Node.js
Depuis Node.js v22.20 (LTS) et v24.9.0, Node.js lie et regroupe de manière statique OpenSSL 3.5. Cela signifie que PQ TLS est activé et préféré par défaut pour ces versions et les suivantes.
### Kit de développement logiciel AWS pour Kotlin
Le SDK Kotlin prend en charge et préfère PQ TLS sous Linux à partir de la v1.5.78. Étant donné que le SDK AWS pour le client basé sur le CRT de Kotlin repose sur des bibliothèques système pour TLS sur macOS et Windows, la prise en charge de PQ TLS dépendra de ces bibliothèques système sous-jacentes.
### Kit de développement logiciel AWS pour Rust
Le SDK AWS pour Rust distribue des packages distincts (appelés « caisses » dans l'écosystème Rust) pour chaque client de service. Ils sont tous gérés dans un GitHub référentiel consolidé, mais chaque client de service suit sa propre version et sa propre cadence de publication. Le SDK consolidé a publié la préférence PQ TLS le 29/08/25, de sorte que toute version de client de service individuelle publiée après cette date prendra en charge et préférera PQ TLS par défaut.
Vous pouvez déterminer la version minimale compatible avec PQ TLS pour un client de service donné en accédant à l'URL de la version de crates.io correspondante (par exemple, AWS Payment Cryptography se trouve [ici](https://crates.io/crates/aws-sdk-paymentcryptography/versions)) et en recherchant la première version publiée après le 29 août. Toute version du client de service publiée après le 29 août aura PQ TLS activé et préféré par défaut.
## Optez pour le support PQ TLS
### Kit AWS SDK pour C\$1\$1
Par défaut, le SDK C\$1\$1 utilise des clients natifs de la plateforme tels que libcurl et. WinHttp Libcurl s'appuie généralement sur le système OpenSSL pour TLS, donc PQ TLS n'est activé par défaut que si le système OpenSSL est ≥ v3.5. Vous pouvez remplacer cette valeur par défaut dans le SDK C\$1\$1 v1.11.673 ou version ultérieure, et opter pour le logiciel AwsCrtHttpClient qui prend en charge et active PQ TLS par défaut.
[Remarques sur la création pour Opt-In PQ TLS Vous pouvez récupérer les dépendances CRT du SDK à l'aide de ce script.](https://github.com/aws/aws-sdk-cpp/blob/main/prefetch_crt_dependency.sh) La création du SDK à partir des sources est décrite [ici](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/sdk-from-source.html) et [ici](https://github.com/aws/aws-sdk-cpp/tree/main?tab=readme-ov-file#building-from-source), mais notez que vous aurez peut-être besoin de quelques CMake indicateurs supplémentaires :
```
-DUSE_CRT_HTTP_CLIENT=ON \
-DUSE_TLS_V1_2=OFF \
-DUSE_TLS_V1_3=ON \
-DUSE_OPENSSL=OFF \
```
### Kit AWS SDK pour Java
Depuis la version 2, le SDK AWS pour Java fournit un client HTTP AWS Common Runtime (AWS CRT) qui peut être configuré pour exécuter le protocole PQ TLS. Depuis la version 2.35.11, le AwsCrtHttpClient protocole TLS PQ est activé et préféré par défaut partout où il est utilisé.
## SDKs qui s'appuient sur le système OpenSSL
Plusieurs AWS SDKs et outils dépendent de la libcrypto/libssl bibliothèque TLS du système. La bibliothèque système la plus souvent utilisée est OpenSSL. OpenSSL a activé le support PQ TLS dans la version 3.5. Le moyen le plus simple de configurer SDKs ces outils et les outils pour PQ TLS est donc de l'utiliser sur une distribution de système d'exploitation sur laquelle OpenSSL 3.5 est installé au moins.
Vous pouvez également configurer un conteneur Docker pour utiliser OpenSSL 3.5 afin d'activer PQ TLS sur n'importe quel système prenant en charge Docker. Voir TLS post-quantique en Python pour un exemple de configuration pour Python.
### AWS CLI
La prise en charge du protocole TLS par PQ avec le programme d'[installation de la CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) AWS sera bientôt disponible. Pour l'activer immédiatement, vous pouvez utiliser d'autres programmes d'installation pour l'AWS CLI, qui varient en fonction du système d'exploitation, et peuvent activer PQ TLS.
Pour macOS, installez l'AWS CLI via [Homebrew](https://brew.sh/) et assurez-vous que votre OpenSSL Homebrew-Vended est mis à niveau vers la version 3.5\$1. Vous pouvez le faire avec « brew install openssl @3 .6 » et valider avec « brew list \$1 grep openssl ».
Pour Ubuntu ou Debian Linux : assurez-vous qu'OpenSSL 3.5\$1 est installé sur la distribution Linux que vous utilisez en tant que système OpenSSL. Installez ensuite l'AWS CLI à l'aide d'apt ou de [PyPI](https://pypi.org/project/awscliv2/). Avec ces prérequis, l'interface de ligne de commande AWS fournie par apt ou PyPI sera configurée pour négocier le PQ-TLS. Pour step-by-step obtenir des instructions pour valider l'installation, consultez le [référentiel github et le](https://github.com/aws-samples/sample-post-quantum-tls-python/) billet de [blog](https://aws.amazon.com/blogs/security/post-quantum-tls-in-python/) qui l'accompagne.
### AWS SDK pour PHP
Le kit AWS SDK pour PHP repose sur le système libssl/libcrypto. Pour utiliser PQ TLS, utilisez ce SDK sur une distribution de système d'exploitation sur laquelle OpenSSL 3.5 est installé au moins.
### Kit AWS SDK pour Python (Boto3)
Le SDK AWS pour Python (Boto3) repose sur le système libssl/libcrypto. Pour utiliser PQ TLS, utilisez ce SDK sur une distribution de système d'exploitation sur laquelle OpenSSL 3.5 est installé au moins.
### Kit AWS SDK pour Ruby
Le SDK AWS pour Ruby repose sur le système libssl/libcrypto. Pour utiliser PQ TLS, utilisez ce SDK sur une distribution de système d'exploitation sur laquelle OpenSSL 3.5 est installé au moins.
### Kit AWS SDK pour .NET
Sous Linux, le SDK AWS pour .NET repose sur le système libssl/libcrypto. Pour utiliser PQ TLS, utilisez ce SDK sur une distribution de système d'exploitation sur laquelle OpenSSL 3.5 est installé au moins. Sous Windows et macOS, PQ TLS est disponible à partir de [.NET 10](https://devblogs.microsoft.com/dotnet/post-quantum-cryptography-in-dotnet/) et [Windows](https://techcommunity.microsoft.com/blog/microsoft-security-blog/post-quantum-cryptography-apis-now-generally-available-on-microsoft-platforms/4469093) 11. [Sur macOS, la prise en charge du protocole TLS 1.3 (condition préalable à PQ TLS) peut être activée en vous connectant au Network.framework d'Apple, comme décrit ici.](https://learn.microsoft.com/en-us/dotnet/core/whats-new/dotnet-10/libraries#tls-13-for-macos-client) En supposant une version .NET minimale de 10, PQ TLS devrait alors être activé.
## AWS SDKs et ses outils ne prévoient pas de prendre en charge le protocole PQ TLS
Il n'est actuellement pas prévu de prendre en charge le langage SDKs et les outils suivants :
+ Kit de développement logiciel AWS pour SAP
+ Kit de développement logiciel AWS pour Swift
+ Outils AWS pour Windows PowerShell
# Bonnes pratiques de sécurité pour la cryptographie des AWS paiements
AWS La cryptographie des paiements prend en charge de nombreuses fonctionnalités de sécurité intégrées ou que vous pouvez éventuellement implémenter pour améliorer la protection de vos clés de chiffrement et garantir qu'elles sont utilisées aux fins prévues, notamment des [politiques IAM](security_iam_service-with-iam.md), un ensemble complet de clés de conditions de politique pour affiner vos politiques clés et vos politiques IAM et l'application intégrée des règles PCI PIN concernant les blocs de clés.
**Important**
Les directives générales fournies ne constituent pas une solution de sécurité complète. Étant donné que toutes les bonnes pratiques ne conviennent pas à toutes les situations, elles ne sont pas censées être prescriptives.
+ **Utilisation des clés et modes d'utilisation** : La cryptographie des AWS paiements suit et applique les restrictions relatives à l'utilisation des clés et au mode d'utilisation, telles que décrites dans la spécification des blocs de clés d'échange de clés interopérables sécurisés ANSI X9 TR 31-2018 et conformément à l'exigence de sécurité PCI PIN 18-3. Cela limite la possibilité d'utiliser une seule clé à des fins multiples et lie cryptographiquement les métadonnées de la clé (telles que les opérations autorisées) au contenu de la clé lui-même. AWS La cryptographie des paiements applique automatiquement ces restrictions, de sorte qu'une clé de chiffrement (TR31\$1K0\$1KEY\$1ENCRYPTION\$1KEY) ne peut pas également être utilisée pour le déchiffrement des données. Pour plus d’informations, consultez [Comprendre les principaux attributs de la clé AWS de cryptographie des paiements](keys-validattributes.md).
+ **Limitez le partage des clés symétriques : ne** partagez que les clés symétriques (telles que les clés de chiffrement par code PIN ou les clés de chiffrement par clé) avec au plus une autre entité. S'il est nécessaire de transmettre des informations sensibles à un plus grand nombre d'entités ou de partenaires, créez des clés supplémentaires. AWS La cryptographie des paiements n'expose jamais le contenu d'une clé symétrique ou d'une clé privée asymétrique en clair.
+ **Utilisez des alias ou des tags pour associer des clés à certains cas d'utilisation ou à certains partenaires** : les alias peuvent être utilisés pour indiquer facilement le cas d'utilisation associé à une clé, comme Alias/bin\$112345\$1CVK pour désigner une clé de vérification de carte associée au BIN 12345. Pour plus de flexibilité, pensez à créer des balises telles que bin=12345, use\$1case=acquiring, country=us, partner=foo. Les alias et les tags peuvent également être utilisés pour limiter l'accès, par exemple en renforçant les contrôles d'accès entre l'émission et l'acquisition des cas d'utilisation.
+ **Pratiquez l'accès le moins privilégié** : l'IAM peut être utilisé pour limiter l'accès à la production aux systèmes plutôt qu'aux individus, par exemple en interdisant aux utilisateurs individuels de créer des clés ou d'exécuter des opérations cryptographiques. L'IAM peut également être utilisé pour limiter l'accès aux commandes et aux touches susceptibles de ne pas s'appliquer à votre cas d'utilisation, par exemple pour limiter la capacité de générer ou de valider des épingles pour un acquéreur. Une autre façon d'utiliser l'accès le moins privilégié consiste à limiter les opérations sensibles (telles que l'importation de clés) à des comptes de service spécifiques. Pour obtenir des exemples, consultez [AWS Exemples de politiques basées sur l'identité en matière de cryptographie des paiements](security_iam_id-based-policy-examples.md).
**Voir aussi**
+ [Gestion des identités et des accès pour la cryptographie des AWS paiements](security-iam.md)
+ [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l'utilisateur IAM*