Considérations de sécurité supplémentaires pour les outils pour PowerShell - Outils AWS pour PowerShell (version 5)
Enregistrement d'informations sensibles

La version 5 (V5) du Outils AWS pour PowerShell est sortie !

Pour plus d'informations sur les modifications majeures et la migration de vos applications, consultez la rubrique relative à la migration.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations de sécurité supplémentaires pour les outils pour PowerShell

Cette rubrique contient des considérations relatives à la sécurité en plus des sujets de sécurité abordés dans les sections précédentes.

Enregistrement d'informations sensibles

Certaines opérations de cet outil peuvent renvoyer des informations susceptibles d'être considérées comme sensibles, notamment des informations provenant de variables d'environnement. L'exposition de ces informations peut représenter un risque de sécurité dans certains scénarios ; par exemple, les informations peuvent être incluses dans les journaux d'intégration continue et de déploiement continu (CI/CD). Il est donc important de vérifier à quel moment vous incluez une telle sortie dans vos journaux et de supprimer la sortie lorsqu'elle n'est pas nécessaire. Pour plus d'informations sur la protection des données sensibles, consultezProtection des données dans ce AWS produit ou service.

La version 5 (V5) du Outils AWS pour PowerShell a été mise à jour pour exclure par défaut les informations potentiellement sensibles des journaux. Si vous devez revenir à un comportement d'outil susceptible d'entraîner l'enregistrement d'informations sensibles, vous pouvez le faire pour une PowerShell session donnée en exécutant la commande suivante :

Set-AWSConfiguration -RedactSensitiveOutputDisplay $false

Si vous revenez au comportement précédent de l'outil, vous augmentez le risque que des informations sensibles soient enregistrées. Dans ce cas, vous devez prendre en compte les meilleures pratiques suivantes :

  • N'utilisez pas de variables d'environnement pour stocker des valeurs sensibles pour vos ressources sans serveur. Demandez plutôt à votre code sans serveur de récupérer le secret par programmation dans un magasin de secrets (par exemple,). AWS Secrets Manager

  • Vérifiez le contenu de vos journaux de compilation pour vous assurer qu'ils ne contiennent pas d'informations sensibles. Envisagez des approches telles que le transfert vers /dev/null ou la capture de la sortie sous forme de bash ou de PowerShell variable pour supprimer les sorties de commande.

  • Tenez compte de l'accès à vos journaux et délimitez cet accès en fonction de votre cas d'utilisation.