Sécurité de l'infrastructure dans Amazon CloudWatch - Amazon CloudWatch
Isolement de réseau

Sécurité de l'infrastructure dans Amazon CloudWatch

En tant que service géré, Amazon CloudWatch est protégé par la sécurité du réseau mondial AWS. Pour plus d’informations sur les services de sécurité AWS et la manière dont AWS protège l’infrastructure, consultez la section Sécurité du cloud AWS. Pour concevoir votre environnement AWS en utilisant les meilleures pratiques en matière de sécurité de l’infrastructure, consultez la section Protection de l’infrastructure dans le Security Pillar AWS Well‐Architected Framework (Pilier de sécurité de l’infrastructure Well‐Architected Framework).

Vous pouvez utiliser les appels d'API publiés par AWS pour accéder à Amazon CloudWatch via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.

Isolement de réseau

Un cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée du cloud Amazon Web Services. Un sous-réseau est une plage d’adresses IP dans un VPC. Vous pouvez déployer diverses ressources AWS dans les sous-réseaux de vos VPC. Par exemple, vous pouvez déployer des instances Amazon EC2, des clusters EMR et des tables de DynamoDB dans des sous-réseaux. Pour de plus amples informations, consultez le Guide de l'utilisateur Amazon VPC.

Pour permettre à CloudWatch de communiquer avec des ressources dans un VPC sans passer par le réseau Internet public, utilisez AWS PrivateLink. Pour de plus amples informations, consultez Utilisation de CloudWatch, CloudWatch Synthetics et CloudWatch Network Monitoring avec des points de terminaison d’un VPC.

Un sous-réseau privé est un sous-réseau sans routage par défaut vers le réseau Internet public. Le déploiement d'une ressource AWS dans un sous-réseau privé n'empêche pas Amazon CloudWatch de collecter des mesures intégrées à partir de la ressource.

Si vous devez publier des métriques personnalisées à partir d'une ressource AWS dans un sous-réseau privé, vous pouvez le faire à l'aide d'un serveur proxy. Le serveur proxy transmet ces requêtes HTTPS aux points de terminaison de l'API publique pour CloudWatch.