• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la documentation Amazon CloudWatch Dashboard.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Protection des données dans AWS Systems Manager
La protection des données fait référence à la protection des données en transit (lors de leur trajet aller-retourSystems Manager) et au repos (lorsqu'elles sont stockées dans AWS des centres de données).
Le modèle de responsabilité AWS partagée
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
-
Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
-
SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
-
Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section Utilisation des CloudTrail sentiers dans le guide de AWS CloudTrail l'utilisateur.
-
Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
-
Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
-
Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez Norme FIPS (Federal Information Processing Standard) 140-3
.
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela inclut lorsque vous travaillez avec Systems Manager ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
Chiffrement des données
Chiffrement au repos
Paramètres dans l’Parameter Store
Vous pouvez créer des paramètres du type String, StringList et SecureString dans Parameter Store, un outil d’ AWS Systems Manager.
Tous vos paramètres, quel que soit leur type, sont chiffrés en transit et au repos. Pendant le transfert, les paramètres sont chiffrés à l’aide du protocole TLS (Transport Layer Security) afin de créer une connexion HTTPS sécurisée pour les demandes d’API. Au repos, ils sont chiffrés avec un Clé détenue par AWS in AWS Key Management Service (AWS KMS). Pour plus d'informations sur Clé détenue par AWS le chiffrement, consultez Clés détenues par AWSle guide du AWS Key Management Service développeur.
Ce type de SecureString offre des options de chiffrement supplémentaires et est recommandé pour toutes les données sensibles. Vous pouvez choisir parmi les types de clé AWS KMS suivants pour chiffrer et déchiffrer la valeur d’un paramètre SecureString :
-
Le Clé gérée par AWS pour votre compte
-
Une clé gérée par le client (CMK) que vous avez créée dans votre compte
-
Une clé CMK dans une autre Compte AWS qui a été partagée avec vous
Pour plus d'informations sur AWS KMS le chiffrement, consultez le guide du AWS Key Management Service développeur.
Contenu des compartiments S3
Dans le cadre de vos opérations Systems Manager, vous pouvez choisir de charger ou de stocker des données dans un ou plusieurs compartiments Amazon Simple Storage Service (Amazon S3).
Pour plus d'informations sur le chiffrement de compartiment S3, consultez Protection des données à l'aide du chiffrement et Protection des données dans Amazon S3 dans le Guide de l'utilisateur Amazon Simple Storage Service.
Voici les types de données que vous pouvez charger ou stocker dans les compartiments S3 dans le cadre de vos activités Systems Manager :
-
La sortie des commandes dansRun Command, un outil dans AWS Systems Manager
-
Packages dansDistributor, un outil dans AWS Systems Manager
-
L'opération de correction se connectePatch Manager, un outil se connecte AWS Systems Manager
-
Listes de remplacement de correctifs Patch Manager
-
Scripts ou Ansible Playbooks à exécuter dans un flux de travail Runbook dans Automation, un outil dans AWS Systems Manager
-
Chef InSpecprofils à utiliser avec les scans dans Compliance, un outil dans AWS Systems Manager
-
AWS CloudTrail journaux
-
L'historique des sessions se connecteSession Manager, un outil se connecte AWS Systems Manager
-
Des rapports provenant deExplorer, un outil dans AWS Systems Manager
-
OpsData deOpsCenter, un outil dans AWS Systems Manager
-
AWS CloudFormation modèles à utiliser avec les flux de travail d'automatisation
-
Données de conformité issues d'une analyse de synchronisation de données de ressources
-
Sortie des demandes de création ou de modification d’association dans State Manager, un outil d’ AWS Systems Manager, sur des nœuds gérés
-
Documents Systems Manager (documents SSM) personnalisés, que vous pouvez exécuter en utilisant le document SSM AWS géré par
AWS-RunDocument
CloudWatch Logs, journaux, groupes
Dans le cadre de vos Systems Manager opérations, vous pouvez choisir de diffuser des données vers un ou plusieurs groupes de CloudWatch journaux Amazon Logs.
Pour plus d'informations sur le chiffrement des groupes de CloudWatch journaux, consultez la section Chiffrer les données des CloudWatch journaux dans les journaux à l'aide AWS Key Management Service du guide de l'utilisateur Amazon CloudWatch Logs.
Les types de données que vous avez peut-être transmis à un groupe de CloudWatch journaux Logs dans le cadre de vos Systems Manager activités sont les suivants :
-
Sortie des commandes Run Command
-
Sortie des scripts exécutés à l'aide de l'action
aws:executeScriptdans un runbook Automation -
Journaux d'historique de session Session Manager
-
Journaux provenant de l'SSM Agent sur vos nœuds gérés
Chiffrement en transit
Nous vous recommandons d'utiliser un protocole de chiffrement tel que Transport Layer Security (TLS) pour chiffrer les données sensibles en transit entre les clients et vos nœuds.
Systems Manager fournit la prise en charge suivante pour le chiffrement de vos données en transit.
- Connexions aux points de terminaison d'API Systems Manager
-
Systems Manager Les points de terminaison d'API ne prennent en charge que des connexions sécurisées sur HTTPS. Lorsque vous gérez Systems Manager des ressources à l'aide du AWS Management Console AWS SDK ou de l'Systems ManagerAPI, toutes les communications sont cryptées avec le protocole TLS (Transport Layer Security). Pour obtenir la liste complète des points de terminaison d'API, veuillez consulter la rubrique Points de terminaison de Service AWS de la Référence générale d'Amazon Web Services.
- Instances gérées
-
AWS fournit une connectivité sécurisée et privée entre les instances Amazon Elastic Compute Cloud (Amazon EC2). En outre, nous chiffrons automatiquement le trafic en transit entre les instances prises en charge dans le même cloud privé virtuel (VPC) ou en mode pair VPCs, à l'aide d'algorithmes AEAD dotés d'un cryptage 256 bits. Cette fonction de chiffrement utilise les capacités de déchargement du matériel sous-jacent, sans impact sur la performance de réseau. Les instances prises en charge sont : C5n, G4, I3en, M5dn, M5n, P3dn, R5dn et R5n.
- Sessions Session Manager
-
Par défaut, Session Manager utilise TLS 1.3 pour chiffrer les données de session transmises entre les machines locales des utilisateurs de votre compte et vos instances EC2. Vous pouvez également choisir de chiffrer davantage les données en transit à l'aide AWS KMS key d'un code créé dans AWS KMS. AWS KMS le chiffrement est disponible pour
Standard_StreamInteractiveCommands, et les types deNonInteractiveCommandssession. - Accès à Run Command
-
Par défaut, l’accès distant à vos nœuds via Run Command est chiffré à l’aide de TLS 1.3 et les demandes de création d’une connexion sont chiffrées à l’aide de SigV4.
Confidentialité du trafic inter-réseau
Vous pouvez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour créer des limites entre les ressources de vos nœuds gérés et contrôler le trafic entre ceux-ci, votre réseau sur site et Internet. Pour en savoir plus, consultez Renforcement de la sécurité des instances EC2 à l’aide des points de terminaison de VPC pour Systems Manager.
Pour plus d'informations sur la sécurité Amazon Virtual Private Cloud, consultez Confidentialité du trafic inter-réseau dans Amazon VPC dans le Guide de l'utilisateur Amazon VPC.
