Sécurité de l'infrastructure sur Amazon CloudWatch - Amazon CloudWatch
Isolement de réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure sur Amazon CloudWatch

En tant que service géré, Amazon CloudWatch est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez des appels d'API AWS publiés pour accéder CloudWatch via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.

Isolement de réseau

Un cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée du cloud Amazon Web Services. Un sous-réseau est une plage d’adresses IP dans un VPC. Vous pouvez déployer diverses AWS ressources dans les sous-réseaux de votre VPCs. Par exemple, vous pouvez déployer des EC2 instances Amazon, des clusters EMR et des tables DynamoDB dans des sous-réseaux. Pour de plus amples informations, consultez le Guide de l'utilisateur Amazon VPC.

Pour CloudWatch permettre de communiquer avec les ressources d'un VPC sans passer par l'Internet public, utilisez. AWS PrivateLink Pour de plus amples informations, veuillez consulter Utilisation CloudWatch, CloudWatch synthetics et surveillance du réseau avec des points de CloudWatch terminaison VPC d'interface.

Un sous-réseau privé est un sous-réseau sans routage par défaut vers le réseau Internet public. Le déploiement d'une AWS ressource dans un sous-réseau privé n'empêche pas Amazon CloudWatch de collecter des métriques intégrées à partir de la ressource.

Si vous devez publier des métriques personnalisées à partir d'une AWS ressource d'un sous-réseau privé, vous pouvez le faire à l'aide d'un serveur proxy. Le serveur proxy transmet ces requêtes HTTPS aux points de terminaison de l'API publique pour CloudWatch.