Sécurité de l'infrastructure dans Amazon QuickSight

Amazon QuickSight est livré sous la forme d'une application web, hébergée sur des hôtes Amazon EC2 dédiés, distincts des clouds privés virtuels (VPC) AWS. Au lieu de déployer QuickSight sur vos propres hôtes, vous accédez au service QuickSight via des points de terminaison publics régionaux. QuickSight accède aux sources de données via une connexion Internet sécurisée à partir de points de terminaison régionaux. Pour accéder aux sources de données situées à l'intérieur d'un réseau d'entreprise, configurez le réseau de façon à autoriser l'accès à partir de l'un des blocs d'adresses IP publiques de QuickSight. Nous vous recommandons d'envisager d'utiliser un VPC (un réseau virtuel dédié à votre compte AWS).

Pour plus d’informations, consultez les ressources suivantes :

En tant que service géré, Amazon QuickSight est protégé par les procédures de sécurité du réseau global AWS décrites dans le document Amazon Web Services : présentation des processus de sécurité.

Si vous utilisez les appels d'API publiés par AWS pour accéder à QuickSight par le biais du réseau, les clients doivent prendre en charge le protocole TLS (Transport Layer Security) en version 1.0 ou ultérieure. Nous recommandons TLS 1.2 ou version ultérieure. Les clients doivent aussi prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un ID de clé d'accès et d'une clé d'accès secrète associée à un principal AWS Identity and Access Management (IAM). Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.

Vous pouvez appeler ces opérations d'API à partir de n'importe quel emplacement sur le réseau, mais QuickSight prend en charge les politiques d'accès basées sur les ressources, ce qui peut inclure des restrictions en fonction de l'adresse IP source. Vous pouvez également utiliser des politiques QuickSight pour contrôler l'accès à partir de points de terminaison Amazon Virtual Private Cloud (Amazon VPC) ou de VPC spécifiques. En effet, cela permet d'isoler l'accès réseau vers une ressource QuickSight donnée à partir du VPC spécifique uniquement au sein du réseau AWS. Pour plus d'informations sur l'utilisation de QuickSight dans un VPC, consultez la rubrique Connexion à un VPC avec Amazon QuickSight.