Protection des données dans Amazon Aurora DSQL

Le modèle de responsabilité partagée de s'applique à la protection des données dans. Comme décrit dans ce modèle, est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée et RGPD (Règlement général sur la protection des données) sur le Blog de sécurité .

À des fins de protection des données, nous vous recommandons de protéger les informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management. Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
SSL/TLS À utiliser pour communiquer avec les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des sentiers pour capturer des activités, consultez la section Utilisation des sentiers dans le guide de l'utilisateur.
Utilisez des solutions de chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

Nous vous recommandons vivement de ne jamais placer d'informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libres tels que le champ Nom. Cela inclut lorsque vous travaillez avec ou d'autres utilisateurs de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Chiffrement des données

Amazon Aurora DSQL fournit une infrastructure de stockage extrêmement durable conçue pour le stockage de données critiques et primaires. Les données sont stockées de manière redondante sur plusieurs appareils répartis dans plusieurs installations d'une région Aurora DSQL.

Chiffrement en transit

Par défaut, le chiffrement en transit est configuré pour vous. Aurora DSQL utilise le protocole TLS pour chiffrer tout le trafic entre votre client SQL et Aurora DSQL.

Chiffrement et signature des données en transit entre les AWS CLI clients du SDK ou de l'API et les points de terminaison SQL Aurora :

Aurora DSQL fournit des points de terminaison HTTPS pour chiffrer les données en transit.
Pour protéger l'intégrité des demandes d'API adressées à Aurora DSQL, les appels d'API doivent être signés par l'appelant. Les appels sont signés par un certificat X.509 ou par la clé d'accès AWS secrète du client conformément au processus de signature Signature version 4 (Sigv4). Pour plus d’informations, consultez Processus de signature Signature Version 4 dans le Références générales AWS.
Utilisez le AWS CLI ou l'un des AWS SDKs pour envoyer des demandes à AWS. Ces outils signent automatiquement les demandes avec la clé d’accès que vous spécifiez lors de leur configuration.

Pour le chiffrement au repos, voirChiffrement au repos dans Aurora DSQL.

Confidentialité du trafic inter-réseaux

Les connexions sont protégées à la fois entre Aurora DSQL et les applications sur site et entre Aurora DSQL et les autres AWS ressources de ces applications. Région AWS

Vous disposez de deux options de connectivité entre votre réseau privé et AWS :

Une connexion AWS Site-to-Site VPN. Pour plus d’informations, consultez Qu’est-ce qu’ AWS Site-to-Site VPN ?
Une AWS Direct Connect connexion. Pour plus d'informations, voir Qu'est-ce que c'est AWS Direct Connect ?

Vous pouvez accéder à Aurora DSQL via le réseau à l'aide des opérations d'API AWS publiées. Les clients doivent prendre en charge les éléments suivants :

Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS politiques gérées

Certificats SSL/TLS