Perlindungan data di Amazon CloudFront - Amazon CloudFront
Enkripsi bergerakEnkripsi diamBatasi Akses ke Konten

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di Amazon CloudFront

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di Amazon CloudFront. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam Pertanyaan Umum Privasi Data. Lihat informasi tentang perlindungan data di Eropa di pos blog Model Tanggung Jawab Bersama dan GDPR AWS di Blog Keamanan AWS .

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan autentikasi multi-faktor (MFA) pada setiap akun.

  • Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.

  • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat Bekerja dengan CloudTrail jejak di AWS CloudTrail Panduan Pengguna.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

  • Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

  • Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di Standar Pemrosesan Informasi Federal (FIPS) 140-3.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan CloudFront atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

Amazon CloudFront menyediakan beberapa opsi yang dapat Anda gunakan untuk membantu mengamankan konten yang dikirimkannya:

  • Konfigurasi koneksi HTTPS.

  • Konfigurasikan enkripsi tingkat bidang untuk menyediakan keamanan tambahan untuk data tertentu selama transit.

  • Batasi akses ke konten agar hanya orang tertentu, atau orang di area tertentu, yang bisa melihatnya.

Topik berikut menjelaskan opsi secara lebih terperinci.

Enkripsi bergerak

Untuk mengenkripsi data Anda selama transit, Anda mengonfigurasi Amazon CloudFront agar pemirsa menggunakan HTTPS untuk meminta file Anda, sehingga koneksi dienkripsi saat CloudFront berkomunikasi dengan pemirsa. Anda juga dapat mengonfigurasi CloudFront untuk menggunakan HTTPS untuk mendapatkan file dari asal Anda, sehingga koneksi dienkripsi saat CloudFront berkomunikasi dengan asal Anda.

Untuk informasi selengkapnya, lihat Gunakan HTTPS dengan CloudFront.

Enkripsi tingkat kolom menambahkan lapisan keamanan tambahan bersama dengan HTTPS yang memungkinkan Anda melindungi data tertentu selama pemrosesan sistem, sehingga hanya aplikasi tertentu yang bisa melihatnya. Dengan mengonfigurasi enkripsi tingkat lapangan CloudFront, Anda dapat mengunggah informasi sensitif yang dikirimkan pengguna dengan aman ke server web Anda. Informasi sensitif yang diberikan oleh klien Anda dienkripsi pada tepi yang lebih dekat dengan pengguna. Data tersebut tetap terenkripsi di seluruh aplikasi Anda, memastikan bahwa hanya aplikasi yang memerlukan data—dan memiliki kredensial untuk mendekripsinya—bisa melakukannya.

Untuk informasi selengkapnya, lihat Gunakan enkripsi tingkat lapangan untuk membantu melindungi data sensitif.

Titik akhir CloudFront API, cloudfront.amazonaws.com dancloudfront-fips.amazonaws.com, hanya menerima lalu lintas HTTPS. Ini berarti bahwa ketika Anda mengirim dan menerima informasi menggunakan CloudFront API, data Anda—termasuk konfigurasi distribusi, kebijakan cache dan kebijakan permintaan asal, grup kunci dan kunci publik, dan kode fungsi dalam CloudFront fungsi—selalu dienkripsi saat transit. Selain itu, semua permintaan yang dikirim ke titik akhir CloudFront API ditandatangani dengan AWS kredensyal dan masuk. AWS CloudTrail

Kode fungsi dan konfigurasi dalam CloudFront Fungsi selalu dienkripsi saat transit saat disalin ke titik lokasi tepi kehadiran (POPs), dan di antara lokasi penyimpanan lain yang digunakan oleh. CloudFront

Enkripsi diam

Kode fungsi dan konfigurasi dalam CloudFront Fungsi selalu disimpan dalam format terenkripsi di lokasi tepi POPs, dan di lokasi penyimpanan lain yang digunakan oleh. CloudFront

Batasi Akses ke Konten

Banyak perusahaan yang mendistribusikan konten melalui internet ingin membatasi akses ke dokumen, data bisnis, aliran media, atau konten yang dimaksudkan untuk subset pengguna. Untuk menyajikan konten ini dengan aman menggunakan Amazon CloudFront, Anda dapat melakukan satu atau beberapa hal berikut:

Gunakan tanda tangan URLs atau cookie

Anda dapat membatasi akses ke konten yang ditujukan untuk pengguna terpilih—misalnya, pengguna yang telah membayar biaya—dengan menyajikan konten pribadi ini melalui CloudFront penggunaan cookie yang ditandatangani atau ditandatangani. URLs Untuk informasi selengkapnya, lihat Sajikan konten pribadi dengan cookie yang ditandatangani URLs dan ditandatangani.

Batasi akses ke konten dalam bucket Amazon S3

Jika Anda membatasi akses ke konten Anda dengan menggunakan, misalnya, cookie yang CloudFront ditandatangani URLs atau ditandatangani, Anda juga tidak ingin orang melihat file dengan menggunakan URL langsung untuk file tersebut. Sebagai gantinya, Anda ingin mereka mengakses file hanya dengan menggunakan CloudFront URL, sehingga perlindungan Anda berfungsi.

Jika Anda menggunakan bucket Amazon S3 sebagai asal untuk CloudFront distribusi, Anda dapat mengatur kontrol akses asal (OAC) yang memungkinkan untuk membatasi akses ke bucket S3. Untuk informasi selengkapnya, lihat Batasi akses ke asal Amazon S3.

Membatasi akses ke konten yang disajikan oleh Penyeimbang Beban Aplikasi (Application Load Balancer)

Bila Anda menggunakan CloudFront Application Load Balancer di Elastic Load Balancing sebagai asal, Anda dapat CloudFront mengonfigurasi untuk mencegah pengguna mengakses Application Load Balancer secara langsung. Hal ini memungkinkan pengguna untuk mengakses Application Load Balancer hanya melalui CloudFront, memastikan bahwa Anda mendapatkan manfaat menggunakan. CloudFront Untuk informasi selengkapnya, lihat Batasi akses ke Application Load Balancers.

Gunakan AWS WAF web ACLs

Anda dapat menggunakan AWS WAF, layanan firewall aplikasi web, untuk membuat daftar kontrol akses web (web ACL) untuk membatasi akses ke konten Anda. Berdasarkan kondisi yang Anda tentukan, seperti alamat IP tempat permintaan berasal atau nilai string kueri, CloudFront merespons permintaan baik dengan konten yang diminta atau dengan kode status HTTP 403 (Terlarang). Untuk informasi selengkapnya, lihat Gunakan AWS WAF perlindungan.

Gunakan pembatasan geo

Anda bisa menggunakan pembatasan geo, juga dikenal sebagai pemblokiran geo, untuk mencegah pengguna di lokasi geografis tertentu agar tidak mengakses konten yang Anda layani melalui distribusi CloudFront. Ada beberapa opsi yang bisa dipilih saat Anda mengonfigurasi pembatasan geografis. Untuk informasi selengkapnya, lihat Batasi distribusi geografis konten Anda.