Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans AWS Control Tower
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci en tant que sécurité du cloud et sécurité dans le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. L’efficacité de notre sécurité est régulièrement testée et vérifiée par des auditeurs tiers dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS Control Tower, consultez la section [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par les AWS services que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre organisation, et la législation et la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'AWS Control Tower. Les rubriques suivantes expliquent comment configurer AWS Control Tower pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser les ressources de votre AWS Control Tower.
# Protection des données dans AWS Control Tower
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans AWS Control Tower. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec AWS Control Tower ou une autre entité Services AWS à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
**Note**
La journalisation de l'activité des utilisateurs avec AWS CloudTrail est gérée automatiquement dans AWS Control Tower lorsque vous configurez votre zone de landing zone.
Pour en savoir plus sur la protection des données, consultez le billet de blog [Modèle de responsabilité partagée AWS et RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr) sur le *Blog sur la sécurité d’AWS *. AWS Control Tower propose les options suivantes que vous pouvez utiliser pour sécuriser le contenu existant dans votre zone de landing zone :
**Topics**
+ [Chiffrement au repos](#data-protection-encryption-rest)
+ [Chiffrement en transit](#data-protection-encryption-in-transit)
+ [Restreindre l'accès au contenu](#data-protection-restrict-access)
## Chiffrement au repos
AWS Control Tower utilise des compartiments Amazon S3 et des bases de données Amazon DynamoDB qui sont chiffrés au repos à l'aide de clés gérées par Amazon S3 (SSE-S3) pour prendre en charge votre zone de landing zone. Ce chiffrement est configuré par défaut lorsque vous configurez votre zone de landing zone. Vous pouvez éventuellement configurer votre zone de landing zone pour chiffrer les ressources à l'aide de clés de chiffrement KMS. Vous pouvez également établir un chiffrement au repos pour les services que vous utilisez dans votre zone de landing zone pour les services qui le prennent en charge. Pour plus d'informations, consultez le chapitre sur la sécurité de la documentation en ligne de ce service.
## Chiffrement en transit
AWS Control Tower utilise le protocole TLS (Transport Layer Security) et le chiffrement côté client pour le chiffrement en transit afin de prendre en charge votre zone de landing zone. En outre, l'accès à AWS Control Tower nécessite l'utilisation de la console, accessible uniquement via un point de terminaison HTTPS. Ce chiffrement est configuré par défaut lorsque vous configurez votre zone de landing zone.
## Restreindre l'accès au contenu
La bonne pratique consiste à limiter l'accès au sous-ensemble d'utilisateurs approprié. Avec AWS Control Tower, vous pouvez le faire en vous assurant que vos administrateurs cloud centraux et vos utilisateurs finaux disposent des autorisations IAM appropriées ou, dans le cas des utilisateurs d'IAM Identity Center, qu'ils appartiennent aux bons groupes.
+ Pour plus d'informations sur les rôles et les politiques des entités IAM, consultez le Guide de *[l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.
+ Pour plus d'informations sur les groupes IAM Identity Center créés lorsque vous configurez votre zone de landing zone, consultez[Groupes de centres d'identité IAM pour AWS Control Tower](sso-groups.md).
# Validation de conformité pour AWS Control Tower
AWS Control Tower est un service bien conçu qui peut aider votre organisation à répondre à vos besoins de conformité grâce à des contrôles et à de bonnes pratiques. En outre, des auditeurs tiers évaluent la sécurité et la conformité d'un certain nombre de services que vous pouvez utiliser dans votre zone d'atterrissage dans le cadre de plusieurs programmes de AWS conformité. Il s’agit notamment des certifications SOC, PCI, FedRAMP, HIPAA et d’autres.
Pour une liste des AWS services concernés par des programmes de conformité spécifiques, voir [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/). Pour obtenir des informations générales, consultez [Programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/).
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, consultez la section [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) dans le guide de l'*AWS Artifact utilisateur*.
Lorsque vous utilisez AWS Control Tower, votre responsabilité en matière de conformité dépend de la sensibilité de vos données, des objectifs de conformité de votre entreprise et des lois et réglementations applicables. AWS fournit les ressources suivantes pour faciliter la mise en conformité :
+ [Guides de démarrage rapide sur la sécurité et la conformité](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) : ces guides de déploiement abordent les considérations architecturales et indiquent les étapes à suivre pour déployer des environnements de base axés sur la sécurité et la conformité sur. AWS
+ [Architecture axée sur la sécurité et la conformité HIPAA sur Amazon Web Services](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) : ce livre blanc décrit comment les entreprises peuvent créer des applications AWS conformes à la loi HIPAA.
+ [AWS Ressources relatives à la conformité](https://aws.amazon.com/compliance/resources/) — Cette collection de classeurs et de guides peut s'appliquer à votre secteur d'activité et à votre région.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Ce AWS service évalue dans quelle mesure les configurations de vos ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ce AWS service fournit une vue complète de l'état de votre sécurité interne, AWS ce qui vous permet de vérifier votre conformité aux normes et aux meilleures pratiques du secteur de la sécurité.
# Résilience dans AWS Control Tower
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité.
AWS Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées au moyen d'un réseau à faible latence, à haut débit et hautement redondant. Les zones de disponibilité vous permettent de concevoir et d’exploiter des applications et des bases de données qui basculent automatiquement d'une zone de disponibilité à l'autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour obtenir la liste des Régions AWS endroits où AWS Control Tower est disponible, consultez[Comment AWS les régions fonctionnent avec AWS Control Tower](region-how.md).
Votre *région d'origine* est définie comme la AWS région dans laquelle votre zone d'atterrissage a été configurée.
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS mondiale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sécurité de l'infrastructure dans AWS Control Tower
AWS Control Tower est protégée par les procédures de sécurité du réseau AWS mondial décrites dans le livre blanc [Amazon Web Services : Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Vous utilisez des appels d'API AWS publiés pour accéder aux AWS services et aux ressources de votre zone de landing zone via le réseau. Nous avons besoin de Transport Layer Security (TLS) 1.2 et recommandons Transport Layer Security (TLS) 1.3 ou version ultérieure. Les clients doivent aussi prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.
Vous pouvez configurer des groupes de sécurité afin de renforcer la sécurité de l'infrastructure réseau pour vos charges de travail liées à la zone de landing zone AWS Control Tower. Pour de plus amples informations, veuillez consulter [Procédure pas à pas : configurer des groupes de sécurité dans AWS Control Tower avec AWS Firewall Manager](firewall-setup-walkthrough.md).