Protection des données sur Amazon CloudFront - Amazon CloudFront
Chiffrement en transitChiffrement au reposRestreindre l'accès au contenu

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données sur Amazon CloudFront

Le modèle de responsabilité AWS partagée de s'applique à la protection des données sur Amazon CloudFront. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section Utilisation des CloudTrail sentiers dans le guide de AWS CloudTrail l'utilisateur.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez Norme FIPS (Federal Information Processing Standard) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela inclut lorsque vous travaillez avec CloudFront ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Amazon CloudFront propose plusieurs options que vous pouvez utiliser pour sécuriser le contenu diffusé :

  • Configurer les connexions HTTPS.

  • Configurez le chiffrement au niveau du champ pour fournir une sécurité supplémentaire pour des données spécifiques pendant le transit.

  • Restreindre l'accès au contenu de manière à ce que seules des personnes spécifiques ou des personnes dans une zone spécifique puissent l'afficher.

Les rubriques suivantes expliquent les options plus en détail.

Chiffrement en transit

Pour chiffrer vos données pendant le transfert, vous configurez Amazon de manière CloudFront à ce que les visiteurs utilisent le protocole HTTPS pour demander vos fichiers, afin que les connexions soient cryptées lors des communications CloudFront avec les utilisateurs. Vous pouvez également configurer CloudFront l'utilisation du protocole HTTPS pour obtenir des fichiers depuis votre origine, afin que les connexions soient cryptées lorsque CloudFront vous communiquez avec votre origine.

Pour de plus amples informations, veuillez consulter Utilisez le protocole HTTPS avec CloudFront.

Le chiffrement au niveau du champ ajoute une couche de sécurité avec HTTPS, qui vous permet de protéger des données spécifiques tout au long du traitement du système, pour que seules certaines applications puissent les voir. En configurant le chiffrement au niveau du champ dans CloudFront, vous pouvez télécharger en toute sécurité les informations sensibles soumises par les utilisateurs sur vos serveurs Web. Les informations sensibles fournies par vos clients sont chiffrées en périphérie plus près de l'utilisateur. Elles restent chiffrées sur l'ensemble de la pile applicative, garantissant ainsi que seules les applications nécessitant les données (et disposant des informations d'identification pour les déchiffrer) puissent y accéder.

Pour de plus amples informations, veuillez consulter Utilisation du chiffrement au niveau du champ pour faciliter la protection des données sensibles.

Les points de terminaison de l' CloudFront API cloudfront.amazonaws.com etcloudfront-fips.amazonaws.com, n'acceptent que le trafic HTTPS. Cela signifie que lorsque vous envoyez et recevez des informations à l'aide de l' CloudFront API, vos données, y compris les configurations de distribution, les politiques de cache et les politiques de demande d'origine, les groupes de clés et les clés publiques, ainsi que le code de fonction dans CloudFront Functions, sont toujours cryptées pendant le transfert. En outre, toutes les demandes envoyées aux points de terminaison de l' CloudFront API sont signées avec des AWS informations d'identification et connectées. AWS CloudTrail

Le code de fonction et la configuration dans CloudFront Functions sont toujours chiffrés en transit lorsqu'ils sont copiés vers les points de présence situés en périphérie (POPs) et entre les autres emplacements de stockage utilisés par CloudFront.

Chiffrement au repos

Le code de fonction et la configuration dans CloudFront Functions sont toujours stockés dans un format crypté sur l'emplacement POPs périphérique et dans d'autres emplacements de stockage utilisés par CloudFront.

Restreindre l'accès au contenu

De nombreuses entreprises qui distribuent du contenu via Internet veulent limiter l'accès aux documents, données professionnelles, flux multimédias ou contenus destinés à un sous-ensemble d'utilisateurs. Pour diffuser ce contenu en toute sécurité à l'aide d'Amazon CloudFront, vous pouvez effectuer une ou plusieurs des opérations suivantes :

Utiliser des cookies signés URLs ou des cookies

Vous pouvez restreindre l'accès au contenu destiné à certains utilisateurs, par exemple les utilisateurs payants, en diffusant ce contenu privé à l' CloudFront aide de cookies signés ou signés. URLs Pour de plus amples informations, veuillez consulter Diffusez du contenu privé avec des cookies signés URLs et signés.

Restriction de l'accès au contenu dans les compartiments Amazon S3

Si vous limitez l'accès à votre contenu en utilisant, par exemple, des cookies CloudFront signés URLs ou signés, vous ne voudrez pas non plus que les utilisateurs puissent consulter les fichiers en utilisant l'URL directe du fichier. Au lieu de cela, vous souhaitez qu'ils accèdent aux fichiers uniquement en utilisant l'URL CloudFront , afin que vos protections fonctionnent.

Si vous utilisez un compartiment Amazon S3 comme origine pour une CloudFront distribution, vous pouvez configurer un contrôle d'accès à l'origine (OAC) qui permet de restreindre l'accès au compartiment S3. Pour de plus amples informations, veuillez consulter Restreindre l'accès à une origine Amazon S3.

Restreindre l'accès au contenu diffusé par un Application Load Balancer

Lorsque vous utilisez CloudFront un Application Load Balancer dans Elastic Load Balancing comme origine, vous pouvez le configurer CloudFront pour empêcher les utilisateurs d'accéder directement à l'Application Load Balancer. Cela permet aux utilisateurs d'accéder à l'Application Load Balancer uniquement par le biais de celui-ci CloudFront, ce qui vous permet de bénéficier des avantages de son utilisation. CloudFront Pour de plus amples informations, veuillez consulter Restreindre l'accès aux équilibreurs de charge des applications.

Utiliser AWS WAF le Web ACLs

Vous pouvez utiliser AWS WAF un service de pare-feu d'applications Web pour créer une liste de contrôle d'accès Web (ACL Web) afin de restreindre l'accès à votre contenu. En fonction des conditions que vous spécifiez, telles que les adresses IP d'où proviennent les demandes ou les valeurs des chaînes de requête, CloudFront répond aux demandes soit avec le contenu demandé, soit avec un code d'état HTTP 403 (interdit). Pour de plus amples informations, veuillez consulter Utilisez des AWS WAF protections.

Utiliser une restriction géographique

Vous pouvez utiliser une restriction géographique, également appelée blocage géographique, pour empêcher les utilisateurs situés à des emplacements géographiques spécifiques d'accéder au contenu que vous desservez via une distribution CloudFront. Il existe plusieurs options au choix lorsque vous configurez des restrictions géographiques. Pour de plus amples informations, veuillez consulter Limitez la distribution géographique de votre contenu.