Protection des données dans les messages SMS destinés aux utilisateurs AWS finaux - AWS Messagerie SMS à l'utilisateur final
Chiffrement des donnéesChiffrement au reposChiffrement en transitGestion des messages SMS dans le cadre de la messagerie destinée aux utilisateurs finauxGestion des clésConfidentialité du trafic inter-réseauxCréation d'un point de terminaison VPC d'interface pour la messagerie SMS de l'utilisateur AWS final

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans les messages SMS destinés aux utilisateurs AWS finaux

Le modèle de responsabilité AWS partagée s'applique à la protection des données dans les SMS destinés aux utilisateurs AWS finaux. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section Utilisation des CloudTrail sentiers dans le guide de AWS CloudTrail l'utilisateur.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez Norme FIPS (Federal Information Processing Standard) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela inclut lorsque vous travaillez avec des AWS messages SMS ou autres utilisateurs à Services AWS l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Chiffrement des données

AWS Messagerie des utilisateurs finaux Les données SMS sont cryptées en transit et au repos à l'intérieur des AWS limites. Lorsque vous envoyez des données à un SMS de messagerie à l'utilisateur AWS final, celui-ci crypte les données au fur et à mesure de leur réception et les stocke. Lorsque vous récupérez des données d'un SMS de messagerie à l'utilisateur AWS final, celui-ci vous les transmet en utilisant les protocoles de sécurité actuels. Lorsque vous utilisez AWS la messagerie SMS à l'utilisateur final pour envoyer un message SMS à un appareil mobile externe, vos données sont transférées en dehors des AWS limites via le protocole SMS et sous réserve des limites techniques des SMS.

Chiffrement au repos

AWS Les SMS de messagerie à l'utilisateur final cryptent toutes les données qu'ils stockent pour vous à l'intérieur de la AWS limite. Cela inclut les données de configuration, les données d'enregistrement et toutes les données que vous ajoutez dans les SMS de messagerie de l'utilisateur AWS final. Pour chiffrer vos données, les SMS de messagerie à l'utilisateur AWS final utilisent des clés internes AWS Key Management Service (AWS KMS) que le service possède et gère en votre nom. Ces clés font l'objet d'une rotation régulière. Pour des informations sur AWS KMS, consultez le guide du développeur AWS Key Management Service.

Chiffrement en transit

AWS Les SMS de messagerie destinés aux utilisateurs finaux utilisent le protocole HTTPS et le protocole TLS (Transport Layer Security) 1.2 pour communiquer avec vos clients et vos applications. Pour communiquer avec d'autres AWS services, les SMS destinés aux utilisateurs AWS finaux utilisent les protocoles HTTPS et TLS 1.2. En outre, lorsque vous créez et gérez des ressources SMS pour les utilisateurs AWS finaux à l'aide de la console, d'un AWS SDK ou du AWS Command Line Interface, toutes les communications sont sécurisées à l'aide des protocoles HTTPS et TLS 1.2.

Lorsque vous utilisez AWS la messagerie SMS à l'utilisateur final pour envoyer un message SMS à un appareil mobile externe, vos données sont transférées en dehors des AWS limites via le protocole SMS. Le protocole SMS présente plusieurs limites inhérentes, telles que l'absence de end-to-end cryptage, qui peuvent être pertinentes pour votre cas d'utilisation. Pour plus d'informations sur les limites des SMS et les meilleures pratiques en matière de sécurité, consultez Considérations relatives à la sécurité du protocole SMS etBonnes pratiques en matière de sécurité du protocole SMS.

Gestion des messages SMS dans le cadre de la messagerie destinée aux utilisateurs finaux

AWS Le SMS de messagerie à l'utilisateur final traite et stocke les messages SMS dans la AWS région sélectionnée par le client. Cependant, les étapes finales de la livraison des messages SMS fonctionnent sur les réseaux mobiles internationaux de manière AWS incontrôlable. Comme c'est généralement le cas pour la livraison de messages SMS, les fournisseurs de services SMS qui les AWS utilisent peuvent eux-mêmes faire appel à des fournisseurs de services en aval pour acheminer les messages SMS dans le monde entier. Ces fournisseurs de services en aval peuvent acheminer les messages SMS via des terminaux ou des réseaux situés dans des régions différentes de la AWS région sélectionnée par le client, même si l'utilisateur final destinataire d'un message SMS se trouve dans la même région.

Gestion des clés

Pour chiffrer les données de vos AWS messages SMS destinés aux utilisateurs AWS finaux, ceux-ci utilisent des AWS KMS clés internes que le service possède et gère en votre nom. Ces clés font l'objet d'une rotation régulière. Vous ne pouvez pas fournir et utiliser vos propres clés AWS KMS ou d'autres clés pour chiffrer les données que vous stockez dans les SMS de messagerie de l'utilisateur AWS final.

Confidentialité du trafic inter-réseaux

La confidentialité du trafic interréseau fait référence à la sécurisation des connexions et du trafic entre les SMS de messagerie de l'utilisateur AWS final et vos clients et applications sur site, ainsi qu'entre les SMS de messagerie utilisateur AWS final et les autres AWS ressources du même système. Région AWS Les fonctionnalités et pratiques suivantes peuvent vous aider à garantir la confidentialité du trafic interréseau pour les SMS destinés aux utilisateurs AWS finaux.

Trafic entre les messages SMS destinés aux utilisateurs AWS finaux et les clients et applications sur site

Pour établir une connexion privée entre les SMS de messagerie de l'utilisateur AWS final et les clients et applications de votre réseau local, vous pouvez utiliser Direct Connect. Cela vous permet de relier votre réseau à un emplacement AWS Direct Connect à l'aide d'un câble Ethernet standard à fibre optique. Une extrémité du câble est connectée à votre routeur. L'autre extrémité est connectée à un Direct Connect routeur. Pour plus d’informations, consultez Présentation de Direct Connect dans le Guide de l’utilisateur Direct Connect .

Pour sécuriser l'accès aux messages SMS destinés aux utilisateurs AWS finaux par le biais de APIs leur publication, nous vous recommandons de respecter les exigences relatives à AWS la messagerie par SMS pour les appels d'API. AWS Les SMS destinés aux utilisateurs finaux nécessitent que les clients utilisent le protocole TLS (Transport Layer Security) 1.2 ou version ultérieure. Les clients doivent également prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un principal Gestion des identités et des accès AWS (IAM) de votre AWS compte. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d'identification de sécurité temporaires et signer les demandes.

Trafic entre les messages SMS de l'utilisateur AWS final et les autres AWS ressources

Pour sécuriser les communications entre les SMS de l'utilisateur AWS final et les autres AWS ressources de la même AWS région, les SMS de l'utilisateur AWS final utilisent HTTPS et TLS 1.2 par défaut.

Comprendre le trafic SMS en dehors des limites d'AWS

Chez AWS, nous prenons la protection des données très au sérieux. Nous utilisons diverses mesures de sécurité pour protéger les données que vous stockez et traitez dans notre environnement cloud. Cependant, il est important de comprendre que le niveau de protection peut varier lorsque les données quittent la AWS frontière et sont traitées ou transmises par des parties externes.

Le protocole SMS ne prend pas en charge le chiffrement. Pour envoyer un message SMS, AWS il est nécessaire de transmettre le message SMS en dehors de la AWS limite et le message SMS ne sera pas end-to-end crypté.

Création d'un point de terminaison VPC d'interface pour la messagerie SMS de l'utilisateur AWS final

Vous pouvez établir une connexion privée entre votre cloud privé virtuel (VPC) et un point de terminaison dans un SMS destiné aux utilisateurs AWS finaux en créant un point de terminaison VPC d'interface.

Les points de terminaison de l'interface sont alimentés par AWS PrivateLinkune technologie qui vous permet d'accéder en privé aux SMS de messagerie de l'utilisateur AWS final APIs sans passerelle Internet, appareil NAT, connexion VPN ou Direct Connect. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec les SMS de messagerie destinés aux utilisateurs AWS finaux APIs qui s'intègrent à. AWS PrivateLink

Pour plus d’informations, consultez le Guide de l’utilisateur AWS PrivateLink.

Création d'un point de terminaison de VPC d'interface

Vous pouvez créer un point de terminaison d'interface à l'aide de la console Amazon VPC ou de AWS Command Line Interface (AWS CLI). Pour plus d'informations, consultez la section Création d'un point de terminaison d'interface dans le AWS PrivateLink Guide.

AWS La messagerie SMS destinée aux utilisateurs finaux prend en charge les noms de service suivants :

  • com.amazonaws.region.sms-voice

Si vous activez le DNS privé pour un point de terminaison d'interface, vous pouvez envoyer des demandes d'API à l'utilisateur AWS final par SMS en utilisant le nom DNS par défaut pour Région AWS, par exemple,com.amazonaws.us-east-1.sms-voice. Pour plus d’informations, consultez Noms d’hôte DNS dans le Guide AWS PrivateLink .

Création d’une stratégie de point de terminaison de VPC

Vous pouvez attacher une politique de point de terminaison à votre point de terminaison de VPC qui contrôle l’accès. La politique spécifie les informations suivantes :

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d’informations, consultez Contrôle de l’accès aux services à l’aide de politiques de point de terminaison dans le Guide AWS PrivateLink .

Exemple : politique de point de terminaison d’un VPC

La politique de point de terminaison VPC suivante accorde l'accès aux actions SMS de messagerie utilisateur AWS final répertoriées pour tous les principaux sur toutes les ressources. 

{
"Statement": [
    {
      "Principal": "*",
      "Action": [
        "sms-voice:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}