Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Protection des données dans Amazon API Gateway
Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) AWS s'applique à la protection des données dans Amazon API Gateway. Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructure globale sur laquelle l'ensemble de AWS Cloud s'exécute. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécurité AWS*.
À des fins de protection des données, nous vous recommandons de protéger les informations d’identification Compte AWS et de configurer les comptes utilisateur individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ Utilisez les certificats SSL/TLS pour communiquer avec les ressources AWS. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez une API (Interface de programmation) et la journalisation des activités des utilisateurs avec AWS CloudTrail. Pour plus d’informations sur l’utilisation des sentiers CloudTrail pour capturer des activités AWS, consultez la section [Utilisation des sentiers CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *Guide de l’utilisateur AWS CloudTrail*.
+ Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules de chiffrement validés FIPS (Federal Information Processing Standard) 140-3 lorsque vous accédez à AWS via une interface de ligne de commande ou une API (interface de programmation), utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela s'applique lorsque vous utilisez API Gateway ou d'autres Services AWS avec la console, l'API, l'AWS CLI ou les kits SDK AWS. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
# Chiffrement des données dans Amazon API Gateway
La protection des données fait référence au fait de protéger les données pendant leur transit (lorsqu’elles sont transmises en direction ou en provenance d’API Gateway) et au repos (lorsqu’elles sont stockées dans AWS).
## Chiffrement des données au repos dans Amazon API Gateway
Si vous choisissez d’activer la mise en cache pour une API REST, vous pouvez activer le chiffrement du cache. Pour en savoir plus, consultez la section [Paramètres de cache pour REST APIs dans API Gateway](api-gateway-caching.md).
Pour en savoir plus sur la protection des données, consultez le billet de blog [Modèle de responsabilité partagée AWS et RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog sur la sécurité d’AWS*.
### Chiffrement et déchiffrement de la clé privée de votre certificat
Lorsque vous créez un nom de domaine personnalisé pour des API privées, votre certificat ACM et votre clé privée sont chiffrés à l’aide d’une clé KMS gérée par AWS portant l’alias **aws/acm**. Vous pouvez afficher l’ID de clé portant cet alias dans la console AWS KMS sous **Clés gérées par AWS**.
API Gateway n’accède pas directement à vos ressources ACM. Il utilise AWS TLS Connection Manager pour sécuriser les clés privées de votre certificat et y accéder. Lorsque vous utilisez votre certificat ACM pour créer un nom de domaine personnalisé API Gateway pour des API privées, API Gateway associe votre certificat à AWS TLS Connection Manager. Pour cela, une autorisation est créée dans AWS KMS pour votre clé gérée par AWS avec le préfixe **aws/acm**. Une autorisation est un instrument de politique qui autorise TLS Connection Manager à utiliser des clés KMS dans les opérations de chiffrement. Elle permet au principal bénéficiaire (TLS Connection Manager) d’appeler les opérations d’autorisation spécifiées sur la clé KMS pour déchiffrer la clé privée de votre certificat. TLS Connection Manager utilise ensuite le certificat et la clé privée déchiffrée (texte brut) pour établir une connexion sécurisée (session SSL/TLS) avec les clients des services API Gateway. Lorsque le certificat est dissocié d’un nom de domaine personnalisé API Gateway pour les API privées, l’autorisation est supprimée.
Si vous souhaitez supprimer l’accès à la clé KMS, nous vous recommandons de remplacer ou de supprimer le certificat du service à l’aide de la AWS Management Console ou de la commande `update-service` de l’AWS CLI.
### Contexte de chiffrement pour API Gateway
Un [contexte de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) est un ensemble optionnel de paires clé-valeur contenant des informations contextuelles sur l’utilisation possible de vos clés privées. AWS KMS lie le contexte de chiffrement aux données chiffrées et l’utilise comme données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié.
Lorsque vos clés TLS sont utilisées avec API Gateway et TLS Connection Manager, le nom de votre service API Gateway est inclus dans le contexte de chiffrement utilisé pour chiffrer votre clé au repos. Vous pouvez vérifier le nom de domaine personnalisé API Gateway pour lequel votre certificat et votre clé privée sont utilisés en consultant le contexte de chiffrement dans vos journaux CloudTrail, comme indiqué dans la section suivante, ou en consultant l’onglet **Ressources associées** de la console ACM.
Pour déchiffrer des données, le même contexte de chiffrement est inclus dans la demande. API Gateway utilise le même contexte de chiffrement dans toutes les opérations cryptographiques AWS KMS, où la clé est `aws:apigateway:arn` et la valeur est l’Amazon Resource Name (ARN) de la ressource `PrivateDomainName` d’API Gateway.
L’exemple suivant présente le contexte de chiffrement dans la sortie d’une opération telle que `CreateGrant`.
```
"constraints": {
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:859412291086:certificate/9177097a-f0ae-4be1-93b1-19f911ea4f88",
"aws:apigateway:arn": "arn:aws:apigateway:us-west-2:859412291086:/domainnames/denytest-part1.pdx.sahig.people.aws.dev+cbaeumzjhg"
}
},
"operations": [
"Decrypt"
],
"granteePrincipal": "tlsconnectionmanager.amazonaws.com"
```
## Chiffrement des données en transit dans Amazon API Gateway
Les API créées avec Amazon API Gateway présentent uniquement des points de terminaison HTTPS. API Gateway ne prend pas en charge les points de terminaison non chiffrés (HTTP).
API Gateway gère les certificats pour les points de terminaison `execute-api` par défaut. Si vous configurez un nom de domaine personnalisé, [vous spécifiez le certificat correspondant](how-to-custom-domains.md#custom-domain-names-certificates). La meilleure pratique consiste à ne pas [épingler les certificats](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-pinning.html).
Pour plus de sécurité, vous pouvez choisir une version de protocole TLS (Transport Layer Security) minimale à appliquer pour votre domaine personnalisé API Gateway. Les API WebSocket et les API HTTP ne prennent en charge que TLS 1.2. Pour en savoir plus, consultez la section [Choisissez une politique de sécurité pour votre domaine personnalisé dans API Gateway](apigateway-custom-domain-tls-version.md).
Vous pouvez également configurer une distribution Amazon CloudFront avec un certificat SSL personnalisé dans votre compte et l’utiliser avec des API régionales. Vous pouvez ensuite configurer la politique de sécurité pour la distribution CloudFront avec TLS 1.1 ou supérieur, en fonction de vos exigences de sécurité et de conformité.
Pour plus d’informations sur la protection des données, consultez [Protégez votre REST APIs dans API Gateway](rest-api-protect.md) et la publication de blog [Responsabilité partagée AWS et RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécurité AWS*.
# Confidentialité du trafic inter-réseau
À l'aide d'Amazon API Gateway, vous pouvez créer des API REST privées accessibles uniquement à partir de votre Amazon Virtual Private Cloud (VPC). Le VPC utilise un [point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html), qui est une interface réseau de terminaison que vous créez dans votre VPC. À l'aide des [stratégies de ressources](apigateway-private-api-create.md#apigateway-private-api-set-up-resource-policy), vous pouvez accorder ou refuser l'accès à votre API depuis des VPC et points de terminaison de VPC sélectionnés, y compris entre plusieurs comptes AWS. Chaque point de terminaison peut être utilisé pour accéder à plusieurs API privées. Vous pouvez également utiliser Direct Connect pour établir une connexion à partir d'un réseau sur site à Amazon VPC et pour accéder à votre API privée avec cette connexion. Dans tous les cas, le trafic vers votre API privée utilise des connexions sécurisées et ne quitte pas le réseau Amazon : il est isolé de l'Internet public. Pour en savoir plus, consultez la section [REST privé APIs dans API Gateway](apigateway-private-apis.md).