Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans AWS Proton

AWS Proton est conforme au modèle de responsabilité AWS partagée modèle de de qui inclut des réglementations et des directives pour la protection des données. AWS est chargé de protéger l'infrastructure mondiale qui gère tous les Services AWS. AWS conserve le contrôle des données hébergées sur cette infrastructure, y compris les contrôles de configuration de sécurité pour le traitement du contenu client et des données personnelles. AWS les clients et les partenaires APN, agissant en tant que responsables du traitement des données ou en tant que sous-traitants, sont responsables de toutes les données personnelles qu'ils déposent dans le AWS Cloud

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer des comptes utilisateur individuels avec AWS Identity and Access Management (IAM), afin que chaque utilisateur ne dispose que des autorisations nécessaires pour accomplir ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

Nous vous recommandons vivement de ne jamais saisir d'informations d'identification sensibles, telles que les numéros de compte de vos clients, dans des champs de texte libres tels que le champ Nom. Cela inclut lorsque vous travaillez avec AWS Proton ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous saisissez dans des champs de texte en format libre pour les identificateurs de ressources ou des éléments similaires liés à la gestion des AWS ressources peuvent être récupérées pour être incluses dans les journaux de diagnostic. Lorsque vous fournissez une URL à un serveur externe, n’incluez pas les informations d’identification non chiffrées dans l’URL pour valider votre demande adressée au serveur.

Pour en savoir plus sur la protection des données, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD sur le Blog sur la sécurité d’AWS .

Chiffrement au repos côté serveur

Si vous choisissez de chiffrer les données sensibles de vos ensembles de modèles au repos dans le compartiment S3 dans lequel vous stockez vos ensembles de modèles, vous devez utiliser une clé SSE-S3 ou SSE-KMS pour permettre de récupérer les ensembles de modèles afin qu'ils puissent être attachés AWS Proton à un modèle enregistré. AWS Proton

Chiffrement en transit

Toutes les communications de service à service sont chiffrées en transit à l'aide de SSL/TLS.

AWS Proton gestion des clés de chiffrement

À l'intérieur AWS Proton, toutes les données des clients sont cryptées par défaut à l'aide d'une clé AWS Proton détenue. Si vous fournissez une AWS KMS clé détenue et gérée par le client, toutes les données du client sont cryptées à l'aide de la clé fournie par le client, comme décrit dans les paragraphes suivants.

Lorsque vous créez un AWS Proton modèle, vous spécifiez votre clé et AWS Proton utilisez vos informations d'identification pour créer une autorisation qui permet AWS Proton d'utiliser votre clé.

Si vous retirez manuellement l'autorisation ou si vous désactivez ou supprimez la clé que vous avez spécifiée, vous ne pourrez pas lire les données chiffrées par la clé spécifiée et renvoyéesValidationException. AWS Proton

AWS Proton contexte de chiffrement

AWS Proton prend en charge les en-têtes de contexte de chiffrement. Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur qui peut contenir des informations contextuelles supplémentaires sur les données. Pour des informations générales sur le contexte de chiffrement, consultez la section Concepts AWS Key Management Service - Contexte de chiffrement du Guide du développeur AWS Key Management Service .

Un contexte de chiffrement est un ensemble de paires clé-valeur contenant des données arbitraires non secrètes. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, lie AWS KMS cryptographiquement le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.

Les clients peuvent utiliser le contexte de chiffrement pour identifier l'utilisation de leur clé gérée par le client dans les enregistrements et les journaux d'audit. Il apparaît également en texte clair dans les journaux, tels que AWS CloudTrail Amazon CloudWatch Logs.

AWS Proton ne prend en compte aucun contexte de chiffrement spécifié par le client ou externe.

AWS Proton ajoute le contexte de chiffrement suivant.

{
  "aws:proton:template": "<proton-template-arn>",
  "aws:proton:resource": "<proton-resource-arn>" 
}

Le premier contexte de chiffrement identifie le AWS Proton modèle auquel la ressource est associée et sert également de contrainte pour les autorisations et les autorisations clés gérées par le client.

Le second contexte de chiffrement identifie la AWS Proton ressource cryptée.

Les exemples suivants montrent l'utilisation du contexte de AWS Proton chiffrement.

Développeur créant une instance de service.

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service/my-service/service-instance/my-service-instance" 
}

Un administrateur crée un modèle.

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service-template/my-template"
}