Protection des données dans AWS Systems Manager - AWS Systems Manager
Chiffrement des donnéesConfidentialité du trafic inter-réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans AWS Systems Manager

La protection des données fait référence au fait de protéger les données lorsqu'elles sont en transit (lorsqu'elles sont transmises à Systems Manager ou à partir de celui-ci) et au repos (lorsqu'elles sont stockées dans les centres de données AWS).

Le modèle de responsabilité partagée AWS s'applique à la protection des données dans AWS Systems Manager. Comme décrit dans ce modèle, AWS est responsable de la protection de l’infrastructure globale sur laquelle l’ensemble du AWS Cloud s’exécute. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécurité AWS.

À des fins de protection des données, nous vous recommandons de protéger les informations d’identification Compte AWS et de configurer les comptes utilisateur individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • Utilisez les certificats SSL/TLS pour communiquer avec les ressources AWS. Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Configurez une API (Interface de programmation) et la journalisation des activités des utilisateurs avec AWS CloudTrail. Pour plus d’informations sur l’utilisation des sentiers CloudTrail pour capturer des activités AWS, consultez la section Utilisation des sentiers CloudTrail dans le Guide de l’utilisateur AWS CloudTrail.

  • Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de modules de chiffrement validés FIPS (Federal Information Processing Standard) 140-3 lorsque vous accédez à AWS via une interface de ligne de commande ou une API (interface de programmation), utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez Norme FIPS (Federal Information Processing Standard) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela est également valable lorsque vous utilisez Systems Manager ou d’autres Services AWS à l’aide de la console, de l’API, d’AWS CLI ou des kits SDK AWS. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Chiffrement des données

Chiffrement au repos

Parameter Store paramètres

Vous pouvez créer des paramètres du type String, StringList et SecureString dans Parameter Store, un outil d’AWS Systems Manager.

Tous vos paramètres, quel que soit leur type, sont chiffrés en transit et au repos. Pendant le transfert, les paramètres sont chiffrés à l’aide du protocole TLS (Transport Layer Security) afin de créer une connexion HTTPS sécurisée pour les demandes d’API. Au repos, ils sont chiffrés avec une Clé détenue par AWS dans AWS Key Management Service (AWS KMS). Pour plus d’informations sur le chiffrement Clé détenue par AWS, consultez Clés détenues par AWS dans le Guide du développeur AWS Key Management Service.

Ce type de SecureString offre des options de chiffrement supplémentaires et est recommandé pour toutes les données sensibles. Vous pouvez choisir parmi les types de clé AWS KMS suivants pour chiffrer et déchiffrer la valeur d’un paramètre SecureString :

  • La Clé gérée par AWS de votre compte

  • Une clé gérée par le client (CMK) que vous avez créée dans votre compte

  • Une CMK dans un autre Compte AWS qui a été partagée avec vous

Pour plus d’informations sur le chiffrement AWS KMS, consultez dans le Guide du développeur AWS Key Management Service.

Contenu des compartiments S3

Dans le cadre de vos opérations Systems Manager, vous pouvez choisir de charger ou de stocker des données dans un ou plusieurs compartiments Amazon Simple Storage Service (Amazon S3).

Pour plus d'informations sur le chiffrement de compartiment S3, consultez Protection des données à l'aide du chiffrement et Protection des données dans Amazon S3 dans le Guide de l'utilisateur Amazon Simple Storage Service.

Voici les types de données que vous pouvez charger ou stocker dans les compartiments S3 dans le cadre de vos activités Systems Manager :

  • La sortie des commandes dans Run Command, un outil d’AWS Systems Manager

  • Packages dans Distributor, un outil d’AWS Systems Manager

  • L’opération de correction dans Patch Manager, un outil d’AWS Systems Manager

  • Listes de remplacement de correctifs Patch Manager

  • Scripts ou playbooks Ansible à exécuter dans un flux de travail de dossier d’exploitation dans Automation, un outil d’AWS Systems Manager

  • Les profils de Chef InSpec à utiliser avec les analyses de conformité, un outil d’AWS Systems Manager

  • Journaux AWS CloudTrail

  • L’historique des sessions dans Session Manager, un outil d’AWS Systems Manager

  • Les rapports de l’Explorer, un outil d’AWS Systems Manager

  • OpsData d’OpsCenter, ou outil d’AWS Systems Manager

  • Modèles AWS CloudFormation à utiliser avec les flux de travail Automation

  • Données de conformité issues d'une analyse de synchronisation de données de ressources

  • Sortie des demandes de création ou de modification d’association dans State Manager, un outil d’AWS Systems Manager, sur des nœuds gérés

  • Documents Systems Manager (documents SSM) personnalisés, que vous pouvez exécuter en utilisant le document SSM AWS géré par AWS-RunDocument

Groupe de journaux CloudWatch Logs

Dans le cadre de vos opérations Systems Manager, vous pouvez choisir de transmettre en continu des données à un ou plusieurs groupes de journaux Amazon CloudWatch Logs.

Pour plus d'informations sur le chiffrement des groupes de journaux CloudWatch Logs, consultez Chiffrement des données de journaux dans CloudWatch LogsAWS Key Management Service dans le Guide de l'utilisateur Amazon CloudWatch Logs.

Voici les types de données que vous avez pu transmettre en continu à un groupe de journaux CloudWatch Logs dans le cadre de vos activités Systems Manager.

  • Sortie des commandes Run Command

  • Sortie des scripts exécutés à l'aide de l'action aws:executeScript dans un runbook Automation

  • Journaux d'historique de session Session Manager

  • Journaux provenant de l'SSM Agent sur vos nœuds gérés

Chiffrement en transit

Nous vous recommandons d'utiliser un protocole de chiffrement tel que Transport Layer Security (TLS) pour chiffrer les données sensibles en transit entre les clients et vos nœuds.

Systems Manager fournit la prise en charge suivante pour le chiffrement de vos données en transit.

Connexions aux points de terminaison d'API Systems Manager

Systems Manager Les points de terminaison d'API ne prennent en charge que des connexions sécurisées sur HTTPS. Lorsque vous gérez des ressources Systems Manager avec AWS Management Console, le kit SDK AWS ou l'API Systems Manager, toutes les communications sont chiffrées à l'aide du protocole TLS (Transport Layer Security). Pour obtenir la liste complète des points de terminaison d'API, veuillez consulter la rubrique Points de terminaison de Service AWS de la Référence générale d'Amazon Web Services.

Instances gérées

AWS fournit une connectivité sécurisée et privée entre des instances Amazon Elastic Compute Cloud (Amazon EC2). De plus, nous chiffrons automatiquement le trafic en transit entre les instances prises en charge dans le même Virtual Private Cloud (VPC) ou dans des VPC appairés à l'aide des algorithmes AEAD avec un chiffrement 256 bits. Cette fonction de chiffrement utilise les capacités de déchargement du matériel sous-jacent, sans impact sur la performance de réseau. Les instances prises en charge sont : C5n, G4, I3en, M5dn, M5n, P3dn, R5dn et R5n.

Sessions Session Manager

Par défaut, Session Manager utilise TLS 1.3 pour chiffrer les données de session transmises entre les machines locales des utilisateurs de votre compte et vos instances EC2. Vous pouvez également choisir de chiffrer davantage les données en transit à l'aide d'un AWS KMS key qui a été créé dans AWS KMS. Le chiffrement AWS KMS est disponible pour les types de session Standard_Stream, InteractiveCommands, et NonInteractiveCommands.

Accès à Run Command

Par défaut, l’accès distant à vos nœuds via Run Command est chiffré à l’aide de TLS 1.3 et les demandes de création d’une connexion sont chiffrées à l’aide de SigV4.

Confidentialité du trafic inter-réseau

Vous pouvez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour créer des limites entre les ressources de vos nœuds gérés et contrôler le trafic entre ceux-ci, votre réseau sur site et Internet. Pour en savoir plus, consultez Renforcement de la sécurité des instances EC2 à l’aide des points de terminaison de VPC pour Systems Manager.

Pour plus d'informations sur la sécurité Amazon Virtual Private Cloud, consultez Confidentialité du trafic inter-réseau dans Amazon VPC dans le Guide de l'utilisateur Amazon VPC.