Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perlindungan data di Amazon CloudFront
Model tanggung jawab AWS bersama model
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management ()IAM. Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
-
Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.
-
GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.
-
Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat Bekerja dengan CloudTrail jejak di AWS CloudTrail Panduan Pengguna.
-
Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
-
Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
-
Jika Anda memerlukan FIPS 140-3 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atau, gunakan titik akhir. API FIPS Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Standar Pemrosesan Informasi Federal (FIPS) 140-3
.
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk ketika Anda bekerja dengan CloudFront atau lainnya Layanan AWS menggunakan konsol,API, AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensil dalam URL untuk memvalidasi permintaan Anda ke server tersebut.
Amazon CloudFront menyediakan beberapa opsi yang dapat Anda gunakan untuk membantu mengamankan konten yang dikirimkannya:
-
Konfigurasikan HTTPS koneksi.
-
Konfigurasikan enkripsi tingkat bidang untuk menyediakan keamanan tambahan untuk data tertentu selama transit.
-
Batasi akses ke konten agar hanya orang tertentu, atau orang di area tertentu, yang bisa melihatnya.
Topik berikut menjelaskan opsi secara lebih terperinci.
Enkripsi bergerak
Untuk mengenkripsi data Anda selama transit, Anda mengonfigurasi Amazon CloudFront agar pemirsa menggunakannya HTTPS untuk meminta file Anda, sehingga koneksi dienkripsi saat CloudFront berkomunikasi dengan pemirsa. Anda juga dapat mengonfigurasi CloudFront untuk digunakan HTTPS untuk mendapatkan file dari asal Anda, sehingga koneksi dienkripsi saat CloudFront berkomunikasi dengan asal Anda.
Untuk informasi selengkapnya, lihat Gunakan HTTPS dengan CloudFront.
Enkripsi tingkat lapangan menambahkan lapisan keamanan tambahan bersama dengan HTTPS yang memungkinkan Anda melindungi data tertentu selama pemrosesan sistem sehingga hanya aplikasi tertentu yang dapat melihatnya. Dengan mengonfigurasi enkripsi tingkat lapangan CloudFront, Anda dapat mengunggah informasi sensitif yang dikirimkan pengguna dengan aman ke server web Anda. Informasi sensitif yang diberikan oleh klien Anda dienkripsi pada tepi yang lebih dekat dengan pengguna. Data tersebut tetap terenkripsi di seluruh aplikasi Anda, memastikan bahwa hanya aplikasi yang memerlukan data—dan memiliki kredensial untuk mendekripsinya—bisa melakukannya.
Untuk informasi selengkapnya, lihat Gunakan enkripsi tingkat lapangan untuk membantu melindungi data sensitif.
CloudFront APITitik akhir, cloudfront.amazonaws.com
dancloudfront-fips.amazonaws.com
, hanya menerima HTTPS lalu lintas. Ini berarti bahwa ketika Anda mengirim dan menerima informasi menggunakan CloudFront API, data Anda—termasuk konfigurasi distribusi, kebijakan cache dan kebijakan permintaan asal, grup kunci dan kunci publik, dan kode fungsi dalam CloudFront fungsi—selalu dienkripsi saat transit. Selain itu, semua permintaan yang dikirim ke CloudFront API titik akhir ditandatangani dengan AWS kredensil dan masuk. AWS CloudTrail
Kode fungsi dan konfigurasi dalam CloudFront Fungsi selalu dienkripsi saat transit saat disalin ke titik lokasi tepi kehadiran (POPs), dan di antara lokasi penyimpanan lain yang digunakan oleh. CloudFront
Enkripsi diam
Kode fungsi dan konfigurasi dalam CloudFront Fungsi selalu disimpan dalam format terenkripsi di lokasi tepiPOPs, dan di lokasi penyimpanan lain yang digunakan oleh. CloudFront
Batasi Akses ke Konten
Banyak perusahaan yang mendistribusikan konten melalui internet ingin membatasi akses ke dokumen, data bisnis, aliran media, atau konten yang dimaksudkan untuk subset pengguna. Untuk menyajikan konten ini dengan aman menggunakan Amazon CloudFront, Anda dapat melakukan satu atau beberapa hal berikut:
- Gunakan tanda tangan URLs atau cookie
-
Anda dapat membatasi akses ke konten yang ditujukan untuk pengguna terpilih—misalnya, pengguna yang telah membayar biaya—dengan menyajikan konten pribadi ini melalui CloudFront penggunaan cookie yang ditandatangani atau ditandatangani. URLs Untuk informasi selengkapnya, lihat Sajikan konten pribadi dengan cookie yang ditandatangani URLs dan ditandatangani.
- Batasi akses ke konten dalam bucket Amazon S3
-
Jika Anda membatasi akses ke konten Anda dengan menggunakan, misalnya, cookie yang CloudFront ditandatangani URLs atau ditandatangani, Anda juga tidak ingin orang melihat file dengan menggunakan langsung URL untuk file tersebut. Sebaliknya, Anda ingin mereka mengakses file hanya dengan menggunakan CloudFront URL, sehingga perlindungan Anda berfungsi.
Jika Anda menggunakan bucket Amazon S3 sebagai asal untuk CloudFront distribusi, Anda dapat mengatur kontrol akses asal (OAC) yang memungkinkan untuk membatasi akses ke bucket S3. Untuk informasi selengkapnya, lihat Batasi akses ke asal Amazon Simple Storage Service.
- Membatasi akses ke konten yang disajikan oleh Penyeimbang Beban Aplikasi (Application Load Balancer)
-
Bila Anda menggunakan CloudFront Application Load Balancer di Elastic Load Balancing sebagai asal, Anda dapat CloudFront mengonfigurasi untuk mencegah pengguna mengakses Application Load Balancer secara langsung. Hal ini memungkinkan pengguna untuk mengakses Application Load Balancer hanya melalui CloudFront, memastikan bahwa Anda mendapatkan manfaat menggunakan. CloudFront Untuk informasi selengkapnya, lihat Membatasi akses ke Application Load Balancers.
- Gunakan AWS WAF web ACLs
-
Anda dapat menggunakan AWS WAF, layanan firewall aplikasi web, untuk membuat daftar kontrol akses web (webACL) untuk membatasi akses ke konten Anda. Berdasarkan kondisi yang Anda tentukan, seperti alamat IP tempat permintaan berasal atau nilai string kueri, CloudFront merespons permintaan baik dengan konten yang diminta atau dengan kode status HTTP 403 (Terlarang). Untuk informasi selengkapnya, lihat Gunakan AWS WAF perlindungan.
- Gunakan pembatasan geo
-
Anda dapat menggunakan pembatasan geografis, juga dikenal sebagai geoblocking, untuk mencegah pengguna di lokasi geografis tertentu mengakses konten yang Anda layani melalui distribusi. CloudFront Ada beberapa opsi yang bisa dipilih saat Anda mengonfigurasi pembatasan geografis. Untuk informasi selengkapnya, lihat Batasi distribusi geografis konten Anda.