Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Architecture de référence en AWS matière de confidentialité
<a name="aws-privacy-reference-architecture"></a>

**Sondage**  
Nous aimerions avoir de vos nouvelles. Veuillez nous faire part de vos commentaires sur le AWS PRA en répondant à un [court sondage](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).

Le schéma suivant illustre l'architecture de référence de AWS confidentialité (AWS PRA). Il s'agit d'un exemple d'architecture qui relie de nombreuses fonctionnalités liées à la confidentialité Services AWS . Cette architecture repose sur une zone d'atterrissage régie par AWS Control Tower.

![\[Schéma des AWS services déployés dans l'architecture de référence de AWS confidentialité\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/privacy-reference-architecture/images/aws-pra-architecture.png)


Le AWS PRA inclut une architecture Web sans serveur hébergée dans le compte de l'application de données personnelles (DP). L'architecture de ce compte est un exemple de charge de travail qui collecte des données personnelles directement auprès des consommateurs. Dans cette charge de travail, les utilisateurs se connectent via un niveau Web. Le niveau Web interagit avec le niveau application. Ce niveau reçoit les entrées du niveau Web, traite et stocke les données, permet aux équipes internes autorisées et à des tiers d'accéder aux données, puis archive et supprime les données lorsqu'elles ne sont plus nécessaires. L'architecture est délibérément modulaire et axée sur les événements afin de démontrer de nombreuses techniques fondamentales d'ingénierie de confidentialité sans entrer dans des cas d'utilisation spécifiques, tels que les lacs de données, les conteneurs, le calcul ou l'Internet des objets (IoT).

Ensuite, ce guide décrit en détail chaque compte de l'organisation. Il décrit les services et fonctionnalités liés à la confidentialité, les considérations et les recommandations, ainsi que des diagrammes pour chacun des comptes suivants :
+ [Compte de gestion de l'organisation](org-management-account.md)
+ [Security OU — Compte Security Tooling](security-tooling-account.md)
+ [Security OU — Compte Log Archive](log-archive-account.md)
+ [Infrastructure UO – Compte réseau](network-account.md)
+ [Données personnelles OU — Compte d'application PDF](personal-data-account.md)

# Compte de gestion de l'organisation
<a name="org-management-account"></a>

**Sondage**  
Nous aimerions avoir de vos nouvelles. Veuillez nous faire part de vos commentaires sur le AWS PRA en répondant à un [court sondage](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).

Le compte Org Management est principalement utilisé pour gérer la dérive de la configuration des ressources pour les contrôles de confidentialité fondamentaux sur tous les comptes de votre organisation, qui est gérée par AWS Organizations. Ce compte est également l'endroit où vous pouvez déployer de nouveaux comptes membres de manière cohérente, avec les mêmes contrôles de sécurité et de confidentialité. Pour plus d'informations sur ce compte, consultez l'[architecture AWS de référence de sécurité (AWS SRA).](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html) Le schéma suivant illustre les services AWS de sécurité et de confidentialité configurés dans le compte Org Management.

![\[AWS services déployés dans le compte de gestion de l'organisation.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Org-Management.png)


**Topics**
+ [

## AWS Artifact
](#aws-artifact)
+ [

## AWS Control Tower
](#aws-control-tower)
+ [

## AWS Organizations
](#aws-organizations)

## AWS Artifact
<a name="aws-artifact"></a>

[AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)peut vous aider dans vos audits en proposant des téléchargements à la demande de documents de AWS sécurité et de conformité. Pour plus d'informations sur la manière dont ce service est utilisé dans un contexte de sécurité, consultez l'[architecture AWS de référence de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-artifact).

Cela vous Service AWS permet de comprendre les contrôles dont vous héritez AWS et de déterminer ceux qu'il vous reste à implémenter dans votre environnement. AWS Artifact donne accès aux rapports AWS de sécurité et de conformité, tels que les rapports sur les contrôles du système et de l'organisation (SOC) et les rapports du secteur des cartes de paiement (PCI). Il donne également accès aux certifications des organismes d'accréditation de toutes les zones géographiques et de tous les secteurs de conformité qui valident la mise en œuvre et l'efficacité opérationnelle des AWS contrôles. En utilisant AWS Artifact, vous pouvez fournir les artefacts AWS d'audit à vos auditeurs ou régulateurs comme preuve des contrôles de AWS sécurité et de confidentialité. Les rapports suivants peuvent être utiles pour démontrer l'efficacité des contrôles de AWS confidentialité :
+ **Rapport de confidentialité SOC 2 Type 2** — Ce rapport démontre l'efficacité des AWS contrôles relatifs à la manière dont les données personnelles sont collectées, utilisées, conservées, divulguées et éliminées. Il existe également un [rapport de confidentialité SOC 3,](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf) qui est une description moins détaillée des contrôles de confidentialité du SOC 2. Pour plus d'informations, consultez la [FAQ du SOC](https://aws.amazon.com/compliance/soc-faqs/).
+ **Catalogue des contrôles de conformité du cloud computing (C5)** — Ce rapport a été créé par l'autorité nationale allemande de cybersécurité, le Bundesamt für Sicherheit in der Informationstechnik (BSI). Il détaille les contrôles de sécurité AWS mis en œuvre afin de répondre aux exigences du C5. Il inclut également des exigences de contrôle supplémentaires en matière de confidentialité relatives à la localisation des données, à la fourniture de services, au lieu de juridiction et aux obligations de divulgation d'informations.
+ **Rapport de certification ISO/IEC 27701:2019** — L'[ISO/IEC 27701:2019](https://aws.amazon.com/compliance/iso-27701-faqs/?refid=sl_card) décrit les exigences et les directives pour établir et améliorer continuellement un système de gestion des informations de confidentialité (PIMS). Ce rapport détaille l'étendue de cette certification et peut servir de preuve de AWS certification. Pour plus d'informations sur cette norme, consultez la norme [ISO/IEC 27701:2019](https://www.iso.org/standard/71670.html) (site Web de l'ISO).

## AWS Control Tower
<a name="aws-control-tower"></a>

[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)vous aide à configurer et à gérer un environnement AWS multi-comptes conforme aux pratiques de sécurité prescriptives recommandées. Pour plus d'informations sur la manière dont ce service est utilisé dans un contexte de sécurité, consultez l'[architecture AWS de référence de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-tower).

Vous pouvez également automatiser le déploiement de nombreux contrôles proactifs, préventifs et de détection, également appelés *garde-fous*, qui répondent à vos exigences en matière de confidentialité des données, notamment en matière de résidence et de souveraineté des données. AWS Control Tower Par exemple, vous pouvez définir des barrières de sécurité qui limitent le transfert de données aux données approuvées uniquement. Régions AWS Pour un contrôle encore plus précis, vous pouvez choisir parmi plus de 17 barrières conçues pour contrôler la résidence des données, telles que Interdire les *connexions au réseau privé virtuel (VPN) Amazon*, *interdire l'accès à Internet pour une instance Amazon VPC* et *refuser* l'accès en fonction de la demande. AWS Région AWS Ces garde-fous se composent d'un certain nombre de AWS CloudFormation crochets, de politiques de contrôle des services et de AWS Config règles qui peuvent être déployés de manière uniforme au sein de votre organisation. Pour plus d'informations, consultez la section [Contrôles qui améliorent la protection de résidence des données](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html) dans la AWS Control Tower documentation.

En ce qui concerne la souveraineté des données, elle fournit AWS Control Tower actuellement des contrôles préventifs, tels *que Exiger qu'un volume Amazon EBS attaché soit configuré pour chiffrer les données au repos* et *Exiger une politique AWS KMS clé comportant une déclaration limitant la création de AWS KMS subventions à*. Services AWS Les contrôles de souveraineté vont au-delà des simples contrôles de résidence des données. Ils aident à prévenir les actions susceptibles de violer les exigences en matière de résidence des données, de restriction d'accès granulaire, de chiffrement et de résilience. Pour plus d'informations, consultez la section [Contrôles préventifs qui contribuent à la souveraineté numérique](https://docs.aws.amazon.com/controltower/latest/controlreference/ds-preventive-controls.html) dans la AWS Control Tower documentation.

Si vous devez déployer des dispositifs de protection de la vie privée au-delà des contrôles de résidence et de souveraineté des données, cela AWS Control Tower inclut un certain nombre de contrôles [obligatoires](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html). Ces contrôles sont déployés par défaut sur chaque unité organisationnelle lorsque vous configurez votre zone d'atterrissage. La plupart de ces contrôles sont préventifs conçus pour protéger les journaux, tels que l'interdiction de la *suppression des archives de journaux et l'activation de la* *validation de l'intégrité du fichier CloudTrail journal*.

AWS Control Tower est également intégré AWS Security Hub CSPM pour fournir des commandes de détection. Ces contrôles sont connus sous le nom de [Service-Managed Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) :. AWS Control Tower Vous pouvez utiliser ces contrôles pour surveiller toute dérive de configuration des contrôles garantissant la confidentialité, tels que le chiffrement au repos pour les instances de base de données Amazon Relational Database Service (Amazon RDS).

## AWS Organizations
<a name="aws-organizations"></a>

Le AWS PRA permet AWS Organizations de gérer de manière centralisée tous les comptes au sein de l'architecture. Pour plus d’informations, consultez [AWS Organizations et la structure de compte dédiée](organization-account-structure.md) dans ce guide. Dans AWS Organizations, vous pouvez utiliser les politiques de contrôle des services (SCPs) et [les politiques de gestion](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html) pour protéger les données personnelles et la confidentialité.

### Politiques de contrôle des services (SCPs)
<a name="aws-organizations-scps"></a>

Les [politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) sont un type de politique d'organisation que vous pouvez utiliser pour gérer les autorisations au sein de votre organisation. Ils fournissent un contrôle centralisé des autorisations maximales disponibles pour les rôles Gestion des identités et des accès AWS (IAM) et les utilisateurs du compte cible, de l'unité organisationnelle (UO) ou de l'ensemble de l'organisation. Vous pouvez créer et postuler SCPs à partir du compte Org Management.

Vous pouvez l'utiliser AWS Control Tower pour effectuer un déploiement SCPs uniforme sur l'ensemble de vos comptes. Pour plus d'informations sur les contrôles de résidence des données que vous pouvez appliquer AWS Control Tower, consultez [AWS Control Tower](#aws-control-tower) ce guide. AWS Control Tower comprend une gamme complète de mesures préventives. SCPs S' AWS Control Tower ils ne sont pas utilisés actuellement dans votre organisation, vous pouvez également déployer ces contrôles manuellement.

#### Utilisation SCPs pour répondre aux exigences de résidence des données
<a name="using-scps-to-address-data-residency-requirements"></a>

Il est courant de gérer les exigences de résidence des données personnelles en stockant et en traitant les données dans une région géographique spécifique. Afin de vérifier que les exigences uniques en matière de résidence des données d'une juridiction sont respectées, nous vous recommandons de travailler en étroite collaboration avec votre équipe réglementaire pour confirmer vos exigences. Une fois ces exigences déterminées, il existe un certain nombre de contrôles de confidentialité AWS fondamentaux qui peuvent vous aider. Par exemple, vous pouvez utiliser SCPs pour limiter ce qui Régions AWS peut être utilisé pour traiter et stocker des données. Pour un exemple de politique, consultez [Limitez les transferts de données entre Régions AWS](restrict-data-transfers-across-regions.md) ce guide.

#### Utilisation SCPs pour limiter les appels d'API à haut risque
<a name="using-scps-to-restrict-high-risk-api-calls"></a>

Il est important de comprendre quels sont les contrôles AWS de sécurité et de confidentialité qui sont responsables et ceux dont vous êtes responsable. Par exemple, vous êtes responsable des résultats des appels d'API qui pourraient être effectués contre l'API Services AWS que vous utilisez. Il vous incombe également de comprendre lesquels de ces appels peuvent entraîner des modifications de votre posture en matière de sécurité ou de confidentialité. Si vous êtes préoccupé par le maintien d'une certaine posture de sécurité et de confidentialité, vous pouvez activer SCPs cette option pour refuser certains appels d'API. Ces appels d'API peuvent avoir des implications, telles que la divulgation involontaire de données personnelles ou des violations de transferts de données transfrontaliers spécifiques. Par exemple, vous souhaiterez peut-être interdire les appels d'API suivants :
+ Permettre l'accès public aux compartiments Amazon Simple Storage Service (Amazon S3)
+ Désactivation d'Amazon GuardDuty ou création de règles de suppression pour les résultats d'exfiltration de données, tels que le résultat d'exfiltration [DNSDataTrojan:EC2/](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#trojan-ec2-dnsdataexfiltration)
+ Supprimer les règles d'exfiltration de AWS WAF données
+ Partage public d'instantanés Amazon Elastic Block Store (Amazon EBS)
+ Supprimer un compte membre de l'organisation
+ Dissociation d'Amazon CodeGuru Reviewer d'un référentiel

### Politiques de gestion
<a name="aws-organizations-management-policies"></a>

[Les politiques de gestion](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html) AWS Organizations intégrées peuvent vous aider à configurer et à gérer Services AWS leurs fonctionnalités de manière centralisée. Les types de stratégie de gestion que vous choisissez déterminent la manière dont les politiques affectent OUs les comptes qui en héritent. Les [politiques relatives aux balises](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) sont un exemple de politique de AWS Organizations gestion directement liée à la confidentialité.

#### Utilisation des politiques relatives aux balises
<a name="using-tag-policies"></a>

Les [balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) sont des paires clé-valeur qui vous aident à gérer, identifier, organiser, rechercher et filtrer AWS les ressources. Il peut être utile d'appliquer des balises qui distinguent les ressources de votre organisation qui traitent des données personnelles. L'utilisation de balises est compatible avec de nombreuses solutions de confidentialité présentées dans ce guide. Par exemple, vous pouvez appliquer une balise indiquant la classification générale des données traitées ou stockées dans la ressource. Vous pouvez écrire des politiques de contrôle d'accès basé sur les attributs (ABAC) qui limitent l'accès aux ressources dotées d'une balise ou d'un ensemble de balises en particulier. Par exemple, votre politique peut spécifier que le `SysAdmin` rôle ne peut pas accéder aux ressources dotées de cette `dataclassification:4` balise. Pour plus d'informations et un didacticiel, voir [Définir les autorisations d'accès aux AWS ressources en fonction des balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans la documentation IAM. En outre, si votre entreprise applique des politiques de conservation des données de manière générale [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)à l'ensemble de vos sauvegardes dans de nombreux comptes, vous pouvez appliquer une balise qui place cette ressource dans le champ d'application de cette politique de sauvegarde.

[Les politiques relatives aux balises](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) vous aident à maintenir la cohérence des balises dans l'ensemble de votre organisation. Dans une politique de balises, vous spécifiez les règles qui s'appliquent aux ressources lorsqu'elles sont étiquetées. Par exemple, vous pouvez exiger que les ressources soient étiquetées avec des clés spécifiques, telles que `DataClassification` ou`DataSteward`, et vous pouvez spécifier des traitements de cas ou des valeurs valides pour les clés. Vous pouvez également recourir à l'[application](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-enforcement.html) pour empêcher le traitement des demandes de balisage non conformes.

Lorsque vous utilisez des balises comme élément essentiel de votre stratégie de contrôle de confidentialité, tenez compte des points suivants :
+ Réfléchissez aux implications du placement de données personnelles ou d'autres types de données sensibles dans des clés ou des valeurs de balise. Lorsque vous contactez AWS une assistance technique, AWS il est possible que vous analysiez les balises et autres identifiants de ressources pour résoudre le problème. Les données des balises ne sont pas cryptées et Services AWS peuvent par exemple être lues. AWS Billing and Cost Management Par conséquent, vous souhaiterez peut-être dépersonnaliser les valeurs des balises, puis les réidentifier à l'aide d'un système que vous contrôlez, tel qu'un système de gestion des services informatiques (ITSM). AWS recommande de ne pas inclure d'informations personnelles identifiables dans les balises.
+ N'oubliez pas que certaines valeurs de balises doivent être rendues immuables (non modifiables) pour empêcher le contournement des contrôles techniques, telles que les conditions ABAC qui reposent sur des balises.

# Security OU — Compte Security Tooling
<a name="security-tooling-account"></a>

**Sondage**  
Nous aimerions avoir de vos nouvelles. Veuillez nous faire part de vos commentaires sur le AWS PRA en répondant à un [court sondage](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).

Le compte Security Tooling est dédié à l'exploitation des services fondamentaux de sécurité et de confidentialité, à la surveillance Comptes AWS et à l'automatisation des alertes et réponses en matière de sécurité et de confidentialité. Pour plus d'informations sur ce compte, consultez l'[architecture AWS de référence de sécurité (AWS SRA).](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) Le schéma suivant illustre les services AWS de sécurité et de confidentialité configurés dans le compte Security Tooling.

![\[Services AWS déployé dans le compte Security Tooling de l'unité organisationnelle Security.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Security-Tooling.png)


**Topics**
+ [

## AWS CloudTrail
](#aws-cloudtrail)
+ [

## AWS Config
](#aws-config)
+ [

## Amazon GuardDuty
](#amazon-guardduty)
+ [

## Analyseur d’accès IAM
](#iam-access-analyzer)
+ [

## Amazon Macie
](#amazon-macie)

## AWS CloudTrail
<a name="aws-cloudtrail"></a>

[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)vous aide à auditer l'activité globale des API dans votre Compte AWS. L'activation CloudTrail de tous Comptes AWS ceux Régions AWS qui stockent, traitent ou transmettent des données personnelles peut vous aider à suivre l'utilisation et la divulgation de ces données. L'[architecture AWS de référence de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#mgmt-cloudtrail) recommande d'activer un suivi organisationnel, qui est un suivi unique qui enregistre tous les événements pour tous les comptes de l'organisation. Cependant, l'activation de ce suivi organisationnel permet d'agréger les données du journal multirégional dans un seul compartiment Amazon Simple Storage Service (Amazon S3) dans le compte Log Archive. Pour les comptes qui traitent des données personnelles, cela peut entraîner des considérations de conception supplémentaires. Les enregistrements du journal peuvent contenir des références à des données personnelles. Pour répondre à vos exigences en matière de résidence et de transfert des données, vous devrez peut-être reconsidérer l'agrégation des données des journaux interrégionaux dans une seule région où se trouve le compartiment S3. Votre organisation peut se demander quelles charges de travail régionales devraient être incluses ou exclues du parcours organisationnel. Pour les charges de travail que vous décidez d'exclure du suivi de l'organisation, vous pouvez envisager de configurer un suivi spécifique à la région qui masque les données personnelles. Pour plus d'informations sur le masquage des données personnelles, consultez la [Amazon Data Firehose](personal-data-account.md#amazon-data-firehose) section de ce guide. En fin de compte, votre organisation peut avoir à la fois des traces organisationnelles et des pistes régionales agrégées dans le compte Log Archive centralisé.

Pour plus d'informations sur la configuration d'un suivi à région unique, consultez les instructions d'utilisation du [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.html#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single) ou de la [console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html#creating-a-trail-in-the-console). Lorsque vous créez le journal de l'organisation, vous pouvez utiliser un paramètre d'inscription ou vous pouvez créer le journal directement dans la [CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-an-organizational-trail-in-the-console.html). [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/configure-org-trails.html)

Pour plus d'informations sur l'approche globale et sur la manière de gérer la centralisation des journaux et les exigences en matière de transfert de données, consultez la [Stockage centralisé des journaux](log-archive-account.md#centralized-log-storage) section de ce guide. Quelle que soit la configuration choisie, vous souhaiterez peut-être séparer la gestion des traces dans le compte Security Tooling du stockage des journaux dans le compte Log Archive, selon la AWS SRA. Cette conception vous permet de créer des politiques d'accès de moindre privilège pour ceux qui doivent gérer les journaux et ceux qui ont besoin d'utiliser les données des journaux.

## AWS Config
<a name="aws-config"></a>

[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)fournit une vue détaillée des ressources de votre ordinateur Compte AWS et de la façon dont elles sont configurées. Il vous aide à identifier les liens entre les ressources et l'évolution de leurs configurations au fil du temps. Pour plus d'informations sur la manière dont ce service est utilisé dans un contexte de sécurité, consultez l'[architecture AWS de référence de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-config).

Dans AWS Config, vous pouvez déployer des [packs de conformité](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html), qui sont des ensembles de AWS Config règles et d'actions correctives. Les packs de conformité fournissent un cadre général conçu pour permettre des contrôles de gouvernance en matière de confidentialité, de sécurité, d'exploitation et d'optimisation des coûts à l'aide de règles gérées ou personnalisées. AWS Config Vous pouvez utiliser cet outil dans le cadre d'un ensemble plus large d'outils d'automatisation pour vérifier si les configurations de vos AWS ressources sont conformes aux exigences de votre propre cadre de contrôle.

Le pack de conformité [Operational Best Practices for NIST Privacy Framework v1.0](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-nist_privacy_framework.html) est aligné sur un certain nombre de contrôles liés à la confidentialité du NIST Privacy Framework. Chaque AWS Config règle s'applique à un type de AWS ressource spécifique et concerne un ou plusieurs contrôles du NIST Privacy Framework. Vous pouvez utiliser ce pack de conformité pour suivre la conformité continue en matière de confidentialité entre les ressources de vos comptes. Voici certaines des règles incluses dans ce pack de conformité :
+ `no-unrestricted-route-to-igw`— Cette règle permet d'empêcher l'exfiltration de données sur le plan de données en surveillant en permanence les tables de routage VPC pour détecter les itinéraires `0.0.0.0/0` par défaut `::/0` ou de sortie vers une passerelle Internet. Cela vous permet de limiter les endroits où le trafic lié à Internet peut être envoyé, en particulier si certaines plages d'adresses CIDR sont connues pour être malveillantes.
+ `encrypted-volumes`— Cette règle vérifie si les volumes Amazon Elastic Block Store (Amazon EBS) attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) sont chiffrés. Si votre organisation a des exigences de contrôle spécifiques relatives à l'utilisation des clés AWS Key Management Service (AWS KMS) pour la protection des données personnelles, vous pouvez spécifier une clé IDs spécifique dans le cadre de la règle pour vérifier que les volumes sont chiffrés avec une AWS KMS clé spécifique.
+ `restricted-common-ports`— Cette règle vérifie si les groupes de sécurité Amazon EC2 autorisent un trafic TCP illimité vers des ports spécifiques. Les groupes de sécurité peuvent vous aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Le blocage du trafic entrant `0.0.0.0/0` vers les ports courants, tels que TCP 3389 et TCP 21, sur vos ressources vous permet de restreindre l'accès à distance.

AWS Config peut être utilisé pour des contrôles de conformité proactifs et réactifs de vos AWS ressources. En plus de prendre en compte les règles contenues dans les packs de conformité, vous pouvez intégrer ces règles dans les modes d'évaluation détective et proactive. Cela permet de mettre en œuvre des contrôles de confidentialité plus tôt dans le cycle de développement de votre logiciel, car les développeurs d'applications peuvent commencer à intégrer des contrôles avant le déploiement. Par exemple, ils peuvent inclure des crochets dans leurs AWS CloudFormation modèles qui vérifient que la ressource déclarée dans le modèle est conforme à toutes les AWS Config règles relatives à la confidentialité pour lesquelles le mode proactif est activé. Pour plus d'informations, consultez [AWS Config Rules Now Support Proactive Compliance](https://aws.amazon.com/blogs/aws/new-aws-config-rules-now-support-proactive-compliance/) (billet de AWS blog).

## Amazon GuardDuty
<a name="amazon-guardduty"></a>

AWS propose plusieurs services qui peuvent être utilisés pour stocker ou traiter des données personnelles, tels qu'Amazon S3, Amazon Relational Database Service (Amazon RDS) ou Amazon EC2 avec Kubernetes. [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) associe une visibilité intelligente à une surveillance continue pour détecter les indicateurs susceptibles d'être liés à la divulgation involontaire de données personnelles. Pour plus d'informations sur la manière dont ce service est utilisé dans un contexte de sécurité, consultez l'[architecture AWS de référence de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-guardduty).

Vous pouvez GuardDuty ainsi identifier les activités potentiellement malveillantes liées à la confidentialité tout au long du cycle de vie d'une attaque. Par exemple, GuardDuty peut vous avertir en cas de connexions à des sites sur liste noire, de trafic ou de volumes de trafic inhabituels sur les ports réseau, d'exfiltration DNS, de lancements inattendus d'instances EC2 et d'appels inhabituels d'un fournisseur de services Internet. Vous pouvez également configurer pour arrêter GuardDuty les alertes relatives aux adresses IP fiables provenant de vos propres *listes d'adresses IP fiables* et pour émettre des alertes sur les adresses IP malveillantes connues provenant de vos propres *listes de menaces*.

Comme le recommande la AWS SRA, vous pouvez activer le compte Security Tooling GuardDuty pour tous Comptes AWS les membres de votre organisation et configurer le compte Security Tooling en tant qu'administrateur GuardDuty délégué. GuardDuty****regroupe les résultats de l'ensemble de l'organisation dans ce compte unique. Pour plus d'informations, consultez [la section Gestion GuardDuty des comptes avec AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html). Vous pouvez également envisager d'identifier toutes les parties prenantes liées à la confidentialité dans le processus de réponse aux incidents, de la détection et de l'analyse au confinement et à l'éradication, et de les impliquer dans tout incident susceptible d'impliquer une exfiltration de données.

## Analyseur d’accès IAM
<a name="iam-access-analyzer"></a>

De nombreux clients veulent avoir l'assurance permanente que les données personnelles sont partagées de manière appropriée avec des sous-traitants tiers préapprouvés et prévus, et aucune autre entité. Un [périmètre de données](https://aws.amazon.com/identity/data-perimeters-on-aws/) est un ensemble de barrières préventives conçues pour permettre uniquement aux identités fiables issues des réseaux attendus d'accéder aux ressources fiables de votre AWS environnement. Lorsque vous définissez des contrôles pour la divulgation involontaire et intentionnelle de données personnelles, vous pouvez définir des identités fiables, des ressources fiables et des réseaux attendus.

Avec [AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html), les organisations peuvent définir une Compte AWS zone de confiance et configurer des alertes en cas de violation de cette zone de confiance. IAM Access Analyzer analyse les politiques IAM pour aider à identifier et à résoudre les accès publics ou intercomptes involontaires à des ressources potentiellement sensibles. IAM Access Analyzer utilise la logique mathématique et l'inférence pour générer des résultats complets pour les ressources accessibles depuis l'extérieur d'un. Compte AWS Enfin, pour répondre aux politiques IAM trop permissives et y remédier, vous pouvez utiliser IAM Access Analyzer pour valider les politiques existantes par rapport aux pratiques recommandées par IAM et fournir des suggestions. IAM Access Analyzer peut générer une politique IAM de moindre privilège basée sur l'activité d'accès antérieure d'un principal IAM. Il analyse CloudTrail les journaux et génère une politique qui n'accorde que les autorisations nécessaires pour continuer à effectuer ces tâches.

Pour plus d'informations sur la manière dont IAM Access Analyzer est utilisé dans un contexte de sécurité, consultez l'architecture de [référence AWS de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-iam-analyzer).

## Amazon Macie
<a name="amazon-macie"></a>

[Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) est un service qui utilise l'apprentissage automatique et la correspondance de modèles pour découvrir les données sensibles, fournit une visibilité sur les risques liés à la sécurité des données et vous aide à automatiser les protections contre ces risques. Macie génère des résultats lorsqu'il détecte des violations potentielles des politiques ou des problèmes liés à la sécurité ou à la confidentialité de vos compartiments Amazon S3. Macie est un autre outil que les entreprises peuvent utiliser pour mettre en œuvre l'automatisation afin de soutenir les efforts de conformité. Pour plus d'informations sur la manière dont ce service est utilisé dans un contexte de sécurité, consultez l'[architecture AWS de référence de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-macie).

Macie peut détecter une liste importante et croissante de types de données sensibles, y compris des informations personnelles identifiables (PII), telles que des noms, des adresses et d'autres attributs identifiables. Vous pouvez même créer des [identifiants de données personnalisés](https://docs.aws.amazon.com/macie/latest/user/custom-data-identifiers.html) afin de définir des critères de détection qui reflètent la définition des données personnelles de votre organisation.

Lorsque votre entreprise définit des contrôles préventifs pour vos compartiments Amazon S3 contenant des données personnelles, vous pouvez utiliser Macie comme mécanisme de validation afin de garantir en permanence l'emplacement de vos données personnelles et la manière dont elles sont protégées. Pour commencer, activez Macie et configurez la [découverte automatique des données sensibles](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html). Macie analyse en permanence les objets dans tous vos compartiments S3, quels que soient les comptes et. Régions AWS Macie génère et tient à jour une carte thermique interactive qui indique où se trouvent les données personnelles. La fonctionnalité de découverte automatique des données sensibles est conçue pour réduire les coûts et minimiser le besoin de configurer manuellement les tâches de découverte. Vous pouvez vous appuyer sur la fonctionnalité de découverte automatique des données sensibles et utiliser Macie pour détecter automatiquement les nouveaux compartiments ou les nouvelles données dans les compartiments existants, puis valider les données par rapport aux balises de classification des données attribuées. Configurez cette architecture pour informer les équipes de développement et de confidentialité appropriées des buckets mal classés ou non classés en temps opportun.

Vous pouvez activer Macie pour tous les comptes de votre organisation en utilisant AWS Organizations. Pour plus d'informations, consultez la section [Intégration et configuration d'une organisation dans Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-integrate.html).

# Security OU — Compte Log Archive
<a name="log-archive-account"></a>

**Sondage**  
Nous aimerions avoir de vos nouvelles. Veuillez nous faire part de vos commentaires sur le AWS PRA en répondant à un [court sondage](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).

Le compte Log Archive vous permet de centraliser les types de journaux d'infrastructure, de service et d'application. Pour plus d'informations sur ce compte, consultez l'[architecture AWS de référence de sécurité (AWS SRA).](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/log-archive.html) Avec un compte dédié aux journaux, vous pouvez appliquer des alertes cohérentes à tous les types de journaux et confirmer que les intervenants en cas d'incident peuvent accéder à un ensemble de ces journaux à partir d'un seul endroit. Vous pouvez également configurer les contrôles de sécurité et les politiques de conservation des données à partir d'un seul endroit, ce qui peut simplifier les frais opérationnels liés à la confidentialité. Le schéma suivant illustre les services AWS de sécurité et de confidentialité configurés dans le compte Log Archive.

![\[Services AWS déployé dans le compte Log Archive de l'unité organisationnelle Security.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Log-Archive.png)


## Stockage centralisé des journaux
<a name="centralized-log-storage"></a>

Les fichiers journaux (tels que AWS CloudTrail les journaux) peuvent contenir des informations pouvant être considérées comme des données personnelles. Certaines organisations choisissent d'utiliser un suivi organisationnel afin de regrouper CloudTrail les journaux des comptes en un seul emplacement central, à des fins de visibilité. Régions AWS Pour plus d’informations, consultez [AWS CloudTrail](security-tooling-account.md#aws-cloudtrail) dans ce guide. Lors de la mise en œuvre de la centralisation des CloudTrail journaux, ceux-ci sont généralement stockés dans un compartiment Amazon Simple Storage Service (Amazon S3) situé dans une seule région.

En fonction de la définition des données personnelles de votre organisation, de vos obligations contractuelles envers vos clients et des réglementations régionales applicables en matière de confidentialité, vous devrez peut-être envisager des transferts de données transfrontaliers lorsqu'il s'agit d'agrégation de journaux. Déterminez si les données personnelles contenues dans les différents types de journaux sont soumises à ces restrictions. Par exemple, CloudTrail les journaux peuvent contenir les données relatives aux employés de votre entreprise, mais pas nécessairement les données personnelles de vos clients. Si votre organisation doit respecter des exigences de transfert de données restreint, les options suivantes peuvent vous aider :
+ Si votre organisation fournit des services AWS Cloud à des personnes concernées dans plusieurs pays, vous pouvez choisir de regrouper tous les journaux dans le pays qui applique les exigences de résidence des données les plus strictes. Par exemple, si vous opérez en Allemagne et que ce pays est soumis aux exigences les plus strictes, vous pouvez agréger les données dans un compartiment S3 afin que `eu-central-1` Région AWS les données collectées en Allemagne ne quittent pas les frontières de l'Allemagne. Pour cette option, vous pouvez configurer un suivi organisationnel unique CloudTrail qui regroupe les journaux de tous les comptes et de Régions AWS la région cible.
+ Supprimez les données personnelles qui doivent rester dans le fichier Région AWS avant qu'elles ne soient copiées et agrégées dans une autre région. Par exemple, vous pouvez masquer les données personnelles dans la région hôte de l'application avant de transférer les journaux vers une autre région. Pour plus d'informations sur le masquage des données personnelles, consultez la [Amazon Data Firehose](personal-data-account.md#amazon-data-firehose) section de ce guide.
+ Si vous avez des préoccupations strictes en matière de souveraineté des données, vous pouvez maintenir une zone d'atterrissage multi-comptes distincte dans le cadre de Région AWS laquelle ces exigences sont appliquées. De cette façon, vous pouvez simplifier la configuration de la zone d'atterrissage dans la région pour une journalisation centralisée. Cela offre également des avantages supplémentaires en matière de ségrégation des infrastructures et aide à maintenir le journal local dans leur propre région. Travaillez avec votre conseiller juridique pour déterminer quelles données personnelles sont concernées et quels Region-to-Region transferts sont autorisés. Pour plus d’informations, consultez [Élaboration de stratégies pour une expansion mondiale](global-expansion.md) dans ce guide. 

Par le biais [des journaux de service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html), des journaux des applications et des journaux du système d'exploitation (OS), vous pouvez utiliser Amazon CloudWatch pour surveiller Services AWS les ressources du compte et de la région correspondants par défaut. Beaucoup choisissent de centraliser ces journaux et statistiques provenant de plusieurs comptes et régions dans un seul compte. Par défaut, ces journaux sont conservés dans le compte correspondant et dans la région d'où ils proviennent. Pour la centralisation, vous pouvez utiliser des [filtres d'abonnement](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html) et des [tâches d'exportation Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) pour partager les données dans un emplacement centralisé. Il peut être important d'inclure les filtres et les tâches d'exportation appropriés lors de l'agrégation des journaux d'une charge de travail soumise à des exigences de transfert de données transfrontalier. Si les journaux d'accès d'une charge de travail contiennent des données personnelles, vous devrez peut-être vous assurer que celles-ci sont transférées ou conservées dans des comptes et régions spécifiques.

## Amazon Security Lake
<a name="security-lake"></a>

Comme le recommande la AWS SRA, vous souhaiterez peut-être utiliser le compte Log Archive comme compte d'administrateur délégué pour [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html). Dans ce cas, Security Lake collecte les journaux pris en charge dans des compartiments Amazon S3 dédiés sur le même compte que les autres journaux de sécurité recommandés par la SRA.

Du point de vue de la confidentialité, il est important que vos intervenants en charge des incidents aient accès aux journaux provenant de vos AWS environnements, de vos fournisseurs SaaS, de vos sites, de sources cloud et de sources tierces. Cela leur permet de bloquer et de corriger plus rapidement les accès non autorisés aux données personnelles. Les mêmes considérations relatives au stockage des journaux s'appliquent très probablement à la résidence des journaux et aux déplacements régionaux au sein d'Amazon Security Lake. Cela est dû au fait que Security Lake collecte des journaux et des événements de sécurité à partir du site Régions AWS dans lequel vous avez activé le service. Pour respecter les exigences relatives à la résidence des données, pensez à votre configuration de [régions cumulatives.](https://docs.aws.amazon.com/security-lake/latest/userguide/add-rollup-region.html)Une région *cumulative est une région dans* laquelle Security Lake consolide les données d'une ou de plusieurs régions contributrices, que vous sélectionnez. Votre organisation devra peut-être s'aligner sur les exigences de conformité de votre région en matière de résidence des données avant de pouvoir configurer Security Lake et les régions cumulatives.

# Infrastructure UO – Compte réseau
<a name="network-account"></a>

**Sondage**  
Nous aimerions avoir de vos nouvelles. Veuillez nous faire part de vos commentaires sur le AWS PRA en répondant à un [court sondage](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).

Dans le compte Réseau, vous gérez le réseau entre vos clouds privés virtuels (VPCs) et Internet au sens large. Dans ce compte, vous pouvez mettre en œuvre des mécanismes de contrôle de divulgation étendus en utilisant AWS WAF, use AWS Resource Access Manager (AWS RAM) pour partager des sous-réseaux VPC et des AWS Transit Gateway pièces jointes, et utiliser Amazon CloudFront pour prendre en charge une utilisation ciblée des services. Pour plus d'informations sur ce compte, consultez l'[architecture AWS de référence de sécurité (AWS SRA).](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html) Le schéma suivant illustre les services AWS de sécurité et de confidentialité configurés dans le compte réseau.

![\[Services AWS déployé dans le compte réseau de l'unité organisationnelle de l'infrastructure.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Network.png)


**Topics**
+ [

## Amazon CloudFront
](#cloudfront)
+ [

## AWS Resource Access Manager
](#aws-ram-network)
+ [

## AWS Transit Gateway
](#transit-gateway)
+ [

## AWS WAF
](#aws-waf)

## Amazon CloudFront
<a name="cloudfront"></a>

[Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) prend en charge les restrictions géographiques pour les applications frontales et l'hébergement de fichiers. CloudFrontpeuvent diffuser du contenu par le biais d'un réseau mondial de centres de données appelés « *emplacements périphériques* ». Lorsqu'un utilisateur demande le contenu que vous diffusez CloudFront, la demande est acheminée vers l'emplacement périphérique offrant la latence la plus faible. Pour plus d'informations sur la manière dont ce service est utilisé dans un contexte de sécurité, consultez l'[architecture AWS de référence de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-cf).

Votre programme de confidentialité peut actuellement garantir le respect de certaines lois régionales. Si votre charge de travail est limitée à fournir des services uniquement aux clients résidant uniquement dans ces régions, vous pouvez mettre en œuvre des mesures techniques qui empêchent l'utilisation depuis d'autres régions. Vous pouvez utiliser des restrictions CloudFront géographiques pour empêcher les utilisateurs situés dans des zones géographiques spécifiques d'accéder au contenu que vous distribuez par le biais d'une CloudFront distribution. Pour plus d'informations et pour connaître les options de configuration relatives aux restrictions géographiques, consultez [la section Restreindre la distribution géographique de votre contenu](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html) dans la CloudFront documentation.

Vous pouvez également configurer CloudFront pour générer des journaux d'accès contenant des informations détaillées sur chaque demande d'utilisateur CloudFront reçue. Pour plus d'informations, consultez [la section Configuration et utilisation des journaux standard (journaux d'accès)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html) dans la CloudFront documentation. Enfin, s'il CloudFront est configuré pour mettre en cache le contenu sur une série d'emplacements périphériques, vous pouvez prendre en compte l'endroit où la mise en cache a lieu. Pour certaines organisations, la mise en cache interrégionale peut être soumise à des exigences de transfert de données transfrontalier.

## AWS Resource Access Manager
<a name="aws-ram-network"></a>

[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) vous permet de partager vos ressources en toute sécurité afin Comptes AWS de réduire les frais opérationnels et de garantir visibilité et auditabilité. Les organisations peuvent ainsi restreindre les AWS ressources qui peuvent être partagées avec d'autres membres Comptes AWS de leur organisation ou avec des comptes tiers. AWS RAM Pour plus d'informations, consultez la section [AWS Ressources partageables](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html). Dans le compte réseau, vous pouvez l'utiliser AWS RAM pour partager des sous-réseaux VPC et des connexions de passerelle de transit. Si vous partagez une connexion AWS RAM de plan de données avec une autre personne Compte AWS, vous pouvez envisager de mettre en place des processus pour vérifier que les connexions sont établies conformément aux exigences préapprouvées Régions AWS et respectent vos exigences en matière de résidence des données.

Outre les connexions de passerelle de partage VPCs et de transit, elles AWS RAM peuvent être utilisées pour partager des ressources qui ne prennent pas en charge les politiques basées sur les ressources IAM. Pour une charge de travail hébergée dans l'unité d'organisation [des données personnelles, vous](personal-data-account.md) pouvez accéder AWS RAM à des données personnelles situées dans une unité séparée Compte AWS. Pour plus d'informations, consultez la section relative [AWS Resource Access Manager](personal-data-account.md#aws-ram-pd-account) au *compte de l'UO sur les données personnelles — DP Application*.

## AWS Transit Gateway
<a name="transit-gateway"></a>

Si vous souhaitez déployer AWS des ressources qui collectent, stockent ou traitent des données personnelles conformément aux exigences de votre organisation en Régions AWS matière de résidence des données et si vous disposez des garanties techniques appropriées, envisagez de mettre en place des garde-fous pour empêcher les flux de données transfrontaliers non approuvés sur les plans de contrôle et de données. Sur le plan de contrôle, vous pouvez limiter l'utilisation des régions et, par conséquent, les flux de données entre régions en utilisant des politiques IAM et de contrôle des services.

Il existe plusieurs options pour contrôler les flux de données entre régions sur le plan de données. Par exemple, vous pouvez utiliser les tables de routage, le peering VPC et les pièces jointes. AWS Transit Gateway [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)est un hub central qui connecte des clouds privés virtuels (VPCs) et des réseaux sur site. Dans le cadre de votre zone d' AWS atterrissage élargie, vous pouvez envisager les différentes manières dont les données peuvent être transmises Régions AWS, notamment par le biais de passerelles Internet, par le biais du VPC-to-VPC peering direct et par le peering interrégional avec. AWS Transit Gateway Par exemple, vous pouvez effectuer les opérations suivantes dans AWS Transit Gateway :
+ Vérifiez que les connexions est-ouest et nord-sud entre votre environnement VPCs et votre environnement sur site sont conformes à vos exigences de confidentialité.
+ Configurez les paramètres VPC conformément à vos exigences de confidentialité.
+ Utilisez une politique de contrôle des services AWS Organizations et des politiques IAM pour empêcher toute modification de votre configuration AWS Transit Gateway et de celle d'Amazon Virtual Private Cloud (Amazon VPC). Pour un exemple de politique de contrôle des services, consultez [Restreindre les modifications apportées aux configurations VPC](restrict-changes-vpc-configurations.md) ce guide.

## AWS WAF
<a name="aws-waf"></a>

Pour empêcher la divulgation involontaire de données personnelles, vous pouvez déployer une defense-in-depth approche pour vos applications Web. Vous pouvez intégrer la validation des entrées et la limitation du débit à votre application, mais cela AWS WAF peut également constituer une autre ligne de défense. [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)est un pare-feu d'applications Web qui vous aide à surveiller les requêtes HTTP et HTTPS qui sont transmises aux ressources protégées de votre application Web. Pour plus d'informations sur la manière dont ce service est utilisé dans un contexte de sécurité, consultez l'[architecture AWS de référence de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-waf).

Avec AWS WAF, vous pouvez définir et déployer des règles qui vérifient des critères spécifiques. Les activités suivantes peuvent être associées à la divulgation involontaire de données personnelles :
+ Trafic provenant d'adresses IP ou de lieux géographiques inconnus ou malveillants
+ Les [10 principales attaques de l'Open Worldwide Application Security Project (OWASP), y compris les attaques](https://owasp.org/www-project-top-ten/) liées à l'exfiltration telles que l'injection SQL
+ Des taux élevés de demandes
+ Trafic général des bots
+ Grattoirs de contenu

Vous pouvez déployer [des groupes de AWS WAF règles](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-groups.html) gérés par AWS. Certains groupes de règles gérés pour AWS WAF peuvent être utilisés pour détecter les menaces à la vie privée et aux données personnelles, par exemple :
+ [Base de données SQL](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html#aws-managed-rule-groups-use-case-sql-db) — Ce groupe de règles contient des règles conçues pour bloquer les modèles de demandes associés à l'exploitation de bases de données SQL, tels que les attaques par injection SQL. Envisagez ce groupe de règles si votre application s'interface avec une base de données SQL.
+ [Entrées erronées connues](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-known-bad-inputs) — Ce groupe de règles contient des règles conçues pour bloquer les modèles de demandes dont on sait qu'ils ne sont pas valides et qui sont associés à l'exploitation ou à la découverte de vulnérabilités.
+ [Contrôle des robots](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) : ce groupe de règles contient des règles conçues pour gérer les demandes émanant de robots, qui peuvent consommer des ressources excédentaires, fausser les indicateurs commerciaux, provoquer des interruptions de service et mener des activités malveillantes.
+ [Prévention du piratage de compte (ATP)](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-atp.html) : ce groupe de règles contient des règles conçues pour empêcher les tentatives malveillantes de piratage de compte. Ce groupe de règles inspecte les tentatives de connexion envoyées au point de terminaison de connexion de votre application.

# Données personnelles OU — Compte d'application PDF
<a name="personal-data-account"></a>

**Sondage**  
Nous aimerions avoir de vos nouvelles. Veuillez nous faire part de vos commentaires sur le AWS PRA en répondant à un [court sondage](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).

Le compte d'application de données personnelles (DP) est l'endroit où votre organisation héberge les services qui collectent et traitent les données personnelles. Plus précisément, vous pouvez stocker ce que vous définissez comme des données personnelles dans ce compte. Le AWS PRA présente un certain nombre d'exemples de configurations de confidentialité via une architecture Web sans serveur à plusieurs niveaux. Lorsqu'il s'agit d'exploiter des charges de travail dans une zone d' AWS atterrissage, les configurations de confidentialité ne doivent pas être considérées comme one-size-fits-all des solutions. Par exemple, votre objectif peut être de comprendre les concepts sous-jacents, comment ils peuvent améliorer la confidentialité et comment votre organisation peut appliquer des solutions à vos cas d'utilisation et à vos architectures particuliers.

 Comptes AWS En effet, au sein de votre organisation qui collecte, stocke ou traite des données personnelles, vous pouvez utiliser AWS Organizations et AWS Control Tower déployer des garde-fous fondamentaux et reproductibles. La mise en place d'une unité organisationnelle (UO) dédiée à ces comptes est essentielle. Par exemple, vous souhaiterez peut-être appliquer des mesures de protection relatives à la résidence des données uniquement à un sous-ensemble de comptes pour lesquels la résidence des données est une considération de conception essentielle. Pour de nombreuses entreprises, il s'agit des comptes qui stockent et traitent les données personnelles.

Votre organisation peut envisager de créer un compte de données dédié, dans lequel vous stockez la source officielle de vos ensembles de données personnels. Une source de données faisant autorité est un emplacement où vous stockez la version principale des données, qui peut être considérée comme la version la plus fiable et la plus précise des données. Par exemple, vous pouvez copier les données de la source de données officielle vers d'autres emplacements, tels que les compartiments Amazon Simple Storage Service (Amazon S3) du compte d'application DP qui sont utilisés pour stocker les données de formation, un sous-ensemble de données clients et des données expurgées. En adoptant cette approche multi-comptes pour séparer les ensembles de données personnelles complets et définitifs du compte Data des charges de travail des consommateurs en aval dans le compte d'application DP, vous pouvez réduire l'impact en cas d'accès non autorisé à vos comptes. 

Le schéma suivant illustre les services AWS de sécurité et de confidentialité configurés dans les comptes DP Application et Data.

![\[Services AWS déployés dans l'application de données personnelles et les comptes de données dans l'unité d'organisation des données personnelles.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-PD-Application.png)


**Topics**
+ [

## Amazon Athena
](#athena)
+ [

## Amazon Bedrock
](#bedrock)
+ [

## AWS Clean Rooms
](#clean-rooms)
+ [

## Amazon CloudWatch Logs
](#cloudwatch-logs)
+ [

## CodeGuru Réviseur Amazon
](#codeguru-reviewer)
+ [

## Amazon Comprehend
](#comprehend)
+ [

## Amazon Data Firehose
](#amazon-data-firehose)
+ [

## Amazon DataZone
](#datazone)
+ [

## AWS Glue
](#aws-glue)
+ [

## AWS Key Management Service
](#aws-kms)
+ [

## AWS Lake Formation
](#lake-formation)
+ [

## Zones locales AWS
](#aws-local-zones)
+ [

## AWS Enclaves Nitro
](#nitro-enclaves)
+ [

## AWS PrivateLink
](#privatelink)
+ [

## AWS Resource Access Manager
](#aws-ram-pd-account)
+ [

## Amazon SageMaker AI
](#sagemaker)
+ [

## AWS fonctionnalités qui aident à gérer le cycle de vie des données
](#manage-data-lifecycle)
+ [

## Services AWS et des fonctionnalités qui aident à segmenter les données
](#segment-data)
+ [

## Services AWS et des fonctionnalités qui permettent de découvrir, de classer ou de cataloguer les données
](#discovery-classification)

## Amazon Athena
<a name="athena"></a>

Vous pouvez envisager des contrôles de limitation des requêtes de données pour atteindre vos objectifs de confidentialité. [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) est un service de requête interactif qui vous permet d'analyser les données directement dans Amazon S3 à l'aide du SQL standard. Il n'est pas nécessaire de charger les données dans Athena ; cela fonctionne directement avec les données stockées dans des compartiments S3.

Un cas d'utilisation courant pour Athena consiste à fournir aux équipes d'analyse des données des ensembles de données personnalisés et nettoyés. Si les ensembles de données contiennent des données personnelles, vous pouvez les nettoyer en masquant des colonnes entières de données personnelles qui n'apportent que peu de valeur aux équipes d'analyse des données. Pour plus d'informations, consultez [Anonymiser et gérer les données de votre lac de données avec Amazon Athena AWS Lake Formation](https://aws.amazon.com/blogs/big-data/anonymize-and-manage-data-in-your-data-lake-with-amazon-athena-and-aws-lake-formation/) et AWS (article de blog).

Si votre approche de transformation des données nécessite une flexibilité supplémentaire en dehors des [fonctions prises en charge par Athena](https://docs.aws.amazon.com/athena/latest/ug/functions.html), vous pouvez définir des fonctions personnalisées, appelées [fonctions définies par l'utilisateur (](https://docs.aws.amazon.com/athena/latest/ug/querying-udf.html)UDF). Vous pouvez les invoquer UDFs dans une requête SQL soumise à Athena, et elles s'exécutent. AWS Lambda Vous pouvez utiliser `SELECT` des `FILTER SQL` requêtes UDFs in et vous pouvez en invoquer plusieurs UDFs dans la même requête. Pour des raisons de confidentialité, vous pouvez créer UDFs des types spécifiques de masquage des données, par exemple en n'affichant que les quatre derniers caractères de chaque valeur d'une colonne.

## Amazon Bedrock
<a name="bedrock"></a>

[Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html) est un service entièrement géré qui donne accès aux modèles de base des principales sociétés d'IA telles que AI21 Labs, Anthropic, Meta, Mistral AI et Amazon. Il aide les organisations à créer et à faire évoluer des applications d'IA génératives. Quelle que soit la plateforme utilisée, lorsqu'elles utilisent l'IA générative, les entreprises peuvent être confrontées à des risques de confidentialité, notamment à l'exposition potentielle de données personnelles, à l'accès non autorisé aux données et à d'autres violations de conformité.

[Amazon Bedrock Guardrails](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails.html) est conçu pour atténuer ces risques en appliquant les meilleures pratiques en matière de sécurité et de conformité à toutes vos charges de travail basées sur l'IA générative dans Amazon Bedrock. Le déploiement et l'utilisation des ressources d'IA ne sont pas toujours conformes aux exigences de confidentialité et de conformité d'une organisation. Organisations peuvent avoir du mal à préserver la confidentialité des données lorsqu'elles utilisent des modèles d'IA générative, car ces modèles peuvent potentiellement mémoriser ou reproduire des informations sensibles. Amazon Bedrock Guardrails contribue à protéger la confidentialité en évaluant les entrées des utilisateurs et en modélisant les réponses. Dans l'ensemble, si les données d'entrée contiennent des données personnelles, il peut y avoir un risque que ces informations soient exposées dans les résultats du modèle.

Amazon Bedrock Guardrails fournit des mécanismes permettant de faire appliquer les politiques de protection des données et d'empêcher toute exposition non autorisée aux données. Il offre des [fonctionnalités de filtrage de contenu](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-sensitive-filters.html) pour détecter et bloquer les données personnelles dans les entrées, des [restrictions thématiques](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-denied-topics.html) pour empêcher l'accès à des sujets inappropriés ou risqués, et des [filtres de mots](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-word-filters.html) pour masquer ou supprimer les termes sensibles dans les invites et réponses des modèles. Ces fonctionnalités aident à prévenir les événements susceptibles d'entraîner des violations de la vie privée, tels que des réponses biaisées ou une érosion de la confiance des clients. Ces fonctionnalités peuvent vous aider à vous assurer que les données personnelles ne sont pas traitées ou divulguées par inadvertance par vos modèles d'IA. Amazon Bedrock Guardrails prend également en charge l'évaluation des entrées et des réponses en dehors d'Amazon Bedrock. Pour plus d'informations, consultez [Implémenter des mesures de sécurité indépendantes du modèle avec Amazon Bedrock Guardrails](https://aws.amazon.com/blogs/machine-learning/implement-model-independent-safety-measures-with-amazon-bedrock-guardrails/) (article de blog).AWS 

Avec Amazon Bedrock Guardrails, vous pouvez limiter le risque d'hallucinations modélisées en utilisant des [vérifications contextuelles de base](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-contextual-grounding-check.html), qui évaluent le fondement factuel et la pertinence des réponses. Le déploiement d'une application d'IA générative destinée aux clients qui utilise des sources de données tierces dans une application [RAG (Retrieval Augmented Generation](https://aws.amazon.com/what-is/retrieval-augmented-generation/)) en est un exemple. Les vérifications contextuelles de base peuvent être utilisées pour valider les réponses du modèle par rapport à ces sources de données et filtrer les réponses inexactes. Dans le contexte du AWS PRA, vous pouvez implémenter Amazon Bedrock Guardrails sur tous les comptes de charge de travail, où il applique des garde-fous de confidentialité spécifiques adaptés aux exigences de chaque charge de travail.

## AWS Clean Rooms
<a name="clean-rooms"></a>

Alors que les entreprises cherchent des moyens de collaborer les unes avec les autres grâce à l'analyse d'ensembles de données sensibles qui se recoupent ou se chevauchent, le maintien de la sécurité et de la confidentialité de ces données partagées est une préoccupation. [AWS Clean Rooms](https://docs.aws.amazon.com/clean-rooms/latest/userguide/what-is.html)vous aide à déployer *des salles blanches de données*, qui sont des environnements sécurisés et neutres dans lesquels les entreprises peuvent analyser des ensembles de données combinés sans partager les données brutes elles-mêmes. Il peut également générer des informations uniques en fournissant un accès à d'autres organisations AWS sans déplacer ou copier les données de leurs propres comptes et sans révéler le jeu de données sous-jacent. Toutes les données restent dans l'emplacement source. Les règles d'analyse intégrées limitent le résultat et les requêtes SQL. Toutes les requêtes sont enregistrées et les membres de la collaboration peuvent voir comment leurs données sont consultées.

Vous pouvez créer une AWS Clean Rooms collaboration et inviter d'autres AWS clients à devenir membres de cette collaboration. Vous autorisez un membre à interroger les ensembles de données des membres, et vous pouvez choisir des membres supplémentaires pour recevoir les résultats de ces requêtes. Si plusieurs membres doivent interroger les ensembles de données, vous pouvez créer des collaborations supplémentaires avec les mêmes sources de données et des paramètres de membre différents. Chaque membre peut filtrer les données partagées avec les membres de la collaboration, et vous pouvez utiliser des règles d'analyse personnalisées pour définir des limites quant à la manière dont les données qu'ils fournissent à la collaboration peuvent être analysées.

En plus de restreindre les données présentées à la collaboration et la manière dont elles peuvent être utilisées par les autres membres, AWS Clean Rooms fournit les fonctionnalités suivantes qui peuvent vous aider à protéger la confidentialité :
+ *La confidentialité différentielle* est une technique mathématique qui améliore la confidentialité des utilisateurs en ajoutant une quantité de bruit soigneusement calibrée aux données. Cela permet de réduire le risque de réidentification des utilisateurs individuels dans l'ensemble de données sans masquer les valeurs qui les intéressent. L'utilisation de [la confidentialitéAWS Clean Rooms différentielle](https://docs.aws.amazon.com/clean-rooms/latest/userguide/differential-privacy.html) ne nécessite pas d'expertise en matière de confidentialité différentielle.
+ AWS Clean Rooms Le [ML](https://docs.aws.amazon.com/clean-rooms/latest/userguide/machine-learning.html) permet à deux ou plusieurs parties d'identifier des utilisateurs similaires dans leurs données sans partager directement les données entre elles. Cela réduit le risque d'attaques par inférence d'appartenance, dans le cadre desquelles un membre de la collaboration peut identifier des individus dans l'ensemble de données de l'autre membre. En créant un modèle de similarité et en générant un segment de similarité, AWS Clean Rooms ML vous aide à comparer des ensembles de données sans exposer les données d'origine. Cela n'oblige aucun des membres à posséder une expertise en apprentissage automatique ou à effectuer un travail en dehors de AWS Clean Rooms. Vous conservez le contrôle et la propriété complets du modèle formé.
+ [L'informatique cryptographique pour les salles blanches (C3R)](https://docs.aws.amazon.com/clean-rooms/latest/userguide/crypto-computing.html) peut être utilisée avec des règles d'analyse pour obtenir des informations à partir de données sensibles. Cela limite cryptographiquement ce que toute autre partie à la collaboration peut apprendre. À l'aide du client de chiffrement C3R, les données sont cryptées chez le client avant d'être fournies. AWS Clean Rooms Comme les tables de données sont chiffrées à l'aide d'un outil de chiffrement côté client avant d'être chargées sur Amazon S3, les données restent chiffrées et persistent pendant le traitement.

Dans le AWS PRA, nous vous recommandons de créer AWS Clean Rooms des collaborations dans le compte Data. Vous pouvez les utiliser pour partager des données clients cryptées avec des tiers. Utilisez-les uniquement en cas de chevauchement entre les ensembles de données fournis. Pour plus d'informations sur la façon de déterminer le chevauchement, consultez la section [Règle d'analyse des listes](https://docs.aws.amazon.com/clean-rooms/latest/userguide/analysis-rules-list.html) dans la AWS Clean Rooms documentation.

## Amazon CloudWatch Logs
<a name="cloudwatch-logs"></a>

[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) vous aide à centraliser les journaux de tous vos systèmes et applications, Services AWS afin que vous puissiez les surveiller et les archiver en toute sécurité. Dans CloudWatch Logs, vous pouvez utiliser une [politique de protection des données](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-data-protection-policies.html) pour les groupes de journaux nouveaux ou existants afin de minimiser le risque de divulgation de données personnelles. Les politiques de protection des données peuvent détecter des données sensibles, telles que des données personnelles, dans vos journaux. La politique de protection des données peut masquer ces données lorsque les utilisateurs accèdent aux journaux via le AWS Management Console. Lorsque les utilisateurs ont besoin d'un accès direct aux données personnelles, conformément à l'objectif global de votre charge de travail, vous pouvez `logs:Unmask` leur attribuer des autorisations. Vous pouvez également créer une politique de protection des données à l'échelle du compte et appliquer cette politique de manière cohérente à tous les comptes de votre organisation. Cela permet de configurer le masquage par défaut pour tous les groupes de journaux actuels et futurs dans CloudWatch Logs. Nous vous recommandons également d'activer les rapports d'audit et de les envoyer à un autre groupe de journaux, à un compartiment Amazon S3 ou à Amazon Data Firehose. Ces rapports contiennent un enregistrement détaillé des résultats relatifs à la protection des données pour chaque groupe de journaux.

## CodeGuru Réviseur Amazon
<a name="codeguru-reviewer"></a>

Pour des raisons de confidentialité et de sécurité, il est essentiel pour de nombreuses entreprises de garantir une conformité continue pendant les phases de déploiement et après le déploiement. Le AWS PRA inclut des contrôles proactifs dans les pipelines de déploiement pour les applications qui traitent des données personnelles. [Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) peut détecter les défauts potentiels susceptibles d'exposer des données personnelles dans du code Java et Python. JavaScript Il propose des suggestions aux développeurs pour améliorer le code. CodeGuru Le réviseur peut identifier les défauts dans un large éventail de pratiques générales recommandées en matière de sécurité, de confidentialité et de pratiques générales recommandées. Il est conçu pour fonctionner avec plusieurs fournisseurs de sources AWS CodeCommit, notamment Bitbucket et Amazon S3. GitHub Parmi les défauts liés à la confidentialité que le CodeGuru réviseur peut détecter, citons :
+ injection de code SQL
+ Cookies non sécurisés
+ Autorisation manquante
+ Rechiffrement côté client AWS KMS 

Pour une liste complète de ce que CodeGuru Reviewer peut détecter, consultez la [bibliothèque Amazon CodeGuru Detector](https://docs.aws.amazon.com/codeguru/detector-library/).

## Amazon Comprehend
<a name="comprehend"></a>

[Amazon Comprehend](https://docs.aws.amazon.com/comprehend/latest/dg/what-is.html) est un service de traitement du langage naturel (NLP) qui utilise l'apprentissage automatique pour découvrir des informations et des connexions précieuses dans des documents texte en anglais. Amazon Comprehend peut détecter et supprimer des données personnelles dans des documents texte structurés, semi-structurés ou non structurés. Pour plus d'informations, consultez la section [Informations personnelles identifiables (PII)](https://docs.aws.amazon.com/comprehend/latest/dg/pii.html) dans la documentation Amazon Comprehend.

Amazon Comprehend propose de nombreuses options d'intégration des applications. Vous pouvez AWS SDKs donc utiliser Amazon Comprehend pour identifier les données personnelles dans de nombreux endroits où vous collectez, stockez et traitez des données. Vous pouvez utiliser les fonctionnalités d'Amazon Comprehend ML pour détecter et supprimer les données personnelles dans les [journaux des applications](https://aws.amazon.com/blogs/machine-learning/redacting-pii-from-application-log-output-with-amazon-comprehend/) (article de AWS blog), les e-mails des clients, les tickets d'assistance, etc. Le schéma d'architecture du compte d'application DP montre comment exécuter cette fonction pour les journaux d'applications sur Amazon EC2. Amazon Comprehend propose deux modes de rédaction :
+ `REPLACE_WITH_PII_ENTITY_TYPE`remplace chaque entité PII par ses types. Par exemple, **Jane Doe** serait remplacée par **NAME**.
+ `MASK`remplace les caractères des entités PII par un personnage de votre choix (\$1 , \$1, \$1, %, &*, ou @). Par exemple,* ***Jane Doe*** *pourrait être remplacée par* **\$1\$1\$1\$1 \$1\$1\$1**.

## Amazon Data Firehose
<a name="amazon-data-firehose"></a>

[Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) peut être utilisé pour capturer, transformer et charger des données de streaming dans des services en aval, tels qu'Amazon Managed Service pour Apache Flink ou Amazon S3. Firehose est souvent utilisé pour transporter de grandes quantités de données en streaming, telles que les journaux d'applications, sans avoir à créer des pipelines de traitement à partir de zéro.

Vous pouvez utiliser les fonctions Lambda pour effectuer un traitement personnalisé ou intégré avant que les données ne soient envoyées en aval. Pour des raisons de confidentialité, cette fonctionnalité prend en charge les exigences de minimisation des données et de transfert de données transfrontalier. Par exemple, vous pouvez utiliser Lambda et Firehose pour transformer les données de journaux multirégionales avant qu'elles ne soient centralisées dans le compte Log Archive. Pour plus d'informations, voir [Biogen : solution de journalisation centralisée pour plusieurs comptes](https://www.youtube.com/watch?v=m8xtR3-ZQs8) (YouTube vidéo). Dans le compte DP Application, vous configurez Amazon CloudWatch et vous pouvez AWS CloudTrail transférer les journaux vers un flux de diffusion Firehose. Une fonction Lambda transforme les journaux et les envoie vers un compartiment S3 central dans le compte Log Archive. Vous pouvez configurer la fonction Lambda pour masquer des champs spécifiques contenant des données personnelles. Cela permet d'empêcher le transfert de données personnelles d'un côté à l'autre Régions AWS. En utilisant cette approche, les données personnelles sont masquées avant le transfert et la centralisation, plutôt qu'après. Pour les demandes émanant de juridictions qui ne sont pas soumises à des exigences de transfert transfrontalier, il est généralement plus efficace sur le plan opérationnel et rentable d'agréger les journaux tout au long du processus organisationnel. CloudTrail Pour plus d'informations, consultez [AWS CloudTrail](security-tooling-account.md#aws-cloudtrail) la section *Security OU — Security Tooling account* de ce guide.

## Amazon DataZone
<a name="datazone"></a>

À mesure que les entreprises adaptent leur approche en matière de partage de données AWS Lake Formation, elles veulent s'assurer que l'accès différentiel est contrôlé par ceux qui connaissent le mieux les données : les propriétaires des données. Services AWS Cependant, ces propriétaires de données peuvent être conscients des exigences de confidentialité, telles que le consentement ou les considérations relatives au transfert de données transfrontalier. [Amazon DataZone](https://docs.aws.amazon.com/datazone/latest/userguide/what-is-datazone.html) aide les propriétaires des données et l'équipe de gouvernance des données à partager et à utiliser les données au sein d'une organisation conformément à vos politiques de gouvernance des données. Sur Amazon DataZone, les secteurs d'activité (LOBs) gèrent leurs propres données, et un catalogue permet de suivre cette propriété. Les parties intéressées peuvent trouver et demander l'accès aux données dans le cadre de leurs tâches commerciales. Tant qu'il respecte les politiques établies par les éditeurs de données, le propriétaire des données peut autoriser l'accès aux tables sous-jacentes, sans avoir à faire appel à un administrateur ni à déplacer les données.

Dans le contexte de la confidentialité, Amazon DataZone peut être utile dans les exemples de cas d'utilisation suivants :
+ Une application orientée client génère des données d'utilisation qui peuvent être partagées avec un LOB marketing distinct. Vous devez vous assurer que seules les données relatives aux clients ayant opté pour le marketing sont publiées dans le catalogue.
+ Les données des clients européens sont publiées mais ne peuvent être souscrites qu'au LOBs niveau local de l'Espace économique européen (EEE). Pour plus d'informations, consultez [Améliorer la sécurité des données grâce à des contrôles d'accès précis sur Amazon](https://aws.amazon.com/blogs/big-data/enhance-data-security-with-fine-grained-access-controls-in-amazon-datazone/). DataZone

Dans le AWS PRA, vous pouvez connecter les données du compartiment Amazon S3 partagé à Amazon DataZone en tant que producteur de données.

## AWS Glue
<a name="aws-glue"></a>

La gestion des ensembles de données contenant des données personnelles est un élément clé de la protection de la vie privée dès la conception. Les données d'une organisation peuvent exister sous des formes structurées, semi-structurées ou non structurées. Les ensembles de données personnelles dépourvus de structure peuvent compliquer l'exécution d'un certain nombre d'opérations visant à renforcer la confidentialité, notamment la minimisation des données, le suivi des données attribuées à une seule personne dans le cadre d'une demande de la personne concernée, la garantie d'une qualité constante des données et la segmentation globale des ensembles de données. [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html)est un service d'extraction, de transformation et de chargement (ETL) entièrement géré. Il peut vous aider à classer, nettoyer, enrichir et déplacer les données entre les magasins de données et les flux de données. AWS Glue les fonctionnalités sont conçues pour vous aider à découvrir, préparer, structurer et combiner des ensembles de données à des fins d'analyse, d'apprentissage automatique et de développement d'applications. Vous pouvez l'utiliser AWS Glue pour créer une structure prévisible et commune au-dessus de vos ensembles de données existants. AWS Glue Data Catalog AWS Glue DataBrew, et la qualité AWS Glue des données sont des AWS Glue fonctionnalités qui peuvent contribuer à répondre aux exigences de confidentialité de votre entreprise.

### AWS Glue Data Catalog
<a name="aws-glue-data-catalog"></a>

[AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/catalog-and-crawler.html)vous aide à établir des ensembles de données maintenables. Le catalogue de données contient des références aux données utilisées comme sources et cibles pour les tâches d'extraction, de transformation et de chargement (ETL) dans AWS Glue. Les informations du catalogue de données sont stockées sous forme de tables de métadonnées, et chaque table indique un magasin de données unique. Vous exécutez un AWS Glue robot d'exploration pour inventorier les données dans différents types de magasins de données. Vous ajoutez des [classificateurs intégrés et personnalisés](https://docs.aws.amazon.com/glue/latest/dg/add-classifier.html) au robot d'exploration, et ces classificateurs déduisent le format des données et le schéma des données personnelles. Le robot d'exploration écrit ensuite les métadonnées dans le catalogue de données. Une table de métadonnées centralisée peut faciliter la réponse aux demandes des personnes concernées (telles que le droit à l'effacement), car elle ajoute de la structure et de la prévisibilité aux différentes sources de données personnelles de votre environnement. AWS Pour un exemple complet de la façon d'utiliser Data Catalog pour répondre automatiquement à ces demandes, consultez [Gérer les demandes d'effacement de données dans votre lac de données avec Amazon S3 Find and Forget](https://aws.amazon.com/blogs/big-data/handling-data-erasure-requests-in-your-data-lake-with-amazon-s3-find-and-forget/) (article de AWS blog). Enfin, si votre organisation a l'habitude d'[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html)administrer et de fournir un accès précis aux bases de données, aux tables, aux lignes et aux cellules, le catalogue de données est un élément clé. Data Catalog permet le partage de données entre comptes et vous aide à [utiliser le contrôle d'accès basé sur des balises pour gérer votre lac de données à grande échelle](https://aws.amazon.com/blogs/big-data/easily-manage-your-data-lake-at-scale-using-tag-based-access-control-in-aws-lake-formation/) (article de AWS blog). Pour plus d'informations, consultez [AWS Lake Formation](#lake-formation) cette section.

### AWS Glue DataBrew
<a name="aws-glue-databrew"></a>

[AWS Glue DataBrew](https://docs.aws.amazon.com/databrew/latest/dg/what-is.html)vous aide à nettoyer et à normaliser les données, et il peut effectuer des transformations sur les données, telles que la suppression ou le masquage d'informations personnelles identifiables et le chiffrement de champs de données sensibles dans des pipelines de données. Vous pouvez également cartographier visuellement le lignage de vos données afin de comprendre les différentes sources de données et les étapes de transformation par lesquelles les données ont été soumises. Cette fonctionnalité devient de plus en plus importante à mesure que votre organisation s'efforce de mieux comprendre et suivre la provenance des données personnelles. DataBrew vous aide à masquer les données personnelles lors de la préparation des données. Vous pouvez détecter les données personnelles dans le cadre d'un travail de profilage des données et recueillir des statistiques, telles que le nombre de colonnes susceptibles de contenir des données personnelles et les catégories potentielles. Vous pouvez ensuite utiliser des techniques intégrées de transformation des données réversibles ou irréversibles, notamment la substitution, le hachage, le chiffrement et le déchiffrement, le tout sans écrire de code. Vous pouvez ensuite utiliser les ensembles de données nettoyés et masqués en aval pour des tâches d'analyse, de reporting et d'apprentissage automatique. Certaines des techniques de masquage de données disponibles DataBrew incluent :
+ **Hachage** — Appliquez des fonctions de hachage aux valeurs des colonnes.
+ **Substitution** — Remplacez les données personnelles par d'autres valeurs d'apparence authentique.
+ **Annulation ou suppression** : remplacez un champ spécifique par une valeur nulle ou supprimez la colonne.
+ **Masquage** : utilisez le brouillage de caractères ou masquez certaines parties des colonnes.

Les techniques de chiffrement disponibles sont les suivantes :
+ **Chiffrement déterministe** : appliquez des algorithmes de chiffrement déterministes aux valeurs des colonnes. Le chiffrement déterministe produit toujours le même texte chiffré pour une valeur.
+ **Chiffrement probabiliste** : appliquez des algorithmes de chiffrement probabiliste aux valeurs des colonnes. Le chiffrement probabiliste produit un texte chiffré différent chaque fois qu'il est appliqué.

Pour une liste complète des recettes de transformation des données personnelles fournies dans DataBrew, voir [Étapes de recette relatives aux informations personnelles identifiables (PII)](https://docs.aws.amazon.com/databrew/latest/dg/recipe-actions.pii.html).

### AWS Glue Qualité des données
<a name="aws-glue-data-quality"></a>

[AWS Glue Data Quality](https://docs.aws.amazon.com/glue/latest/dg/glue-data-quality.html) vous aide à automatiser et à opérationnaliser la diffusion de données de haute qualité dans les pipelines de données, de manière proactive, avant qu'elles ne soient livrées à vos consommateurs de données. AWS Glue Data Quality fournit une analyse statistique des problèmes de qualité des données dans l'ensemble de vos pipelines de données, peut [déclencher des alertes sur Amazon EventBridge](https://docs.aws.amazon.com/glue/latest/dg/data-quality-alerts.html) et peut recommander des règles de qualité pour y remédier. AWS Glue Data Quality prend également en charge la création de règles dans un [langage spécifique au domaine](https://docs.aws.amazon.com/glue/latest/dg/dqdl.html) afin que vous puissiez créer des règles de qualité des données personnalisées.

## AWS Key Management Service
<a name="aws-kms"></a>

[AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) vous aide à créer et à contrôler des clés cryptographiques pour protéger vos données. AWS KMS utilise des modules de sécurité matériels pour protéger et valider AWS KMS keys dans le cadre du programme de validation des modules cryptographiques FIPS 140-2. Pour plus d'informations sur la manière dont ce service est utilisé dans un contexte de sécurité, consultez l'[architecture AWS de référence de sécurité](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-kms).

AWS KMS s'intègre à la plupart Services AWS des solutions de chiffrement, et vous pouvez utiliser des clés KMS dans vos applications qui traitent et stockent des données personnelles. Vous pouvez AWS KMS les utiliser pour répondre à diverses exigences en matière de confidentialité et protéger les données personnelles, notamment :
+ Utilisation de [clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pour un meilleur contrôle de la force, de la rotation, de l'expiration et d'autres options.
+ Utilisation de clés dédiées gérées par le client pour protéger les données personnelles et les secrets permettant d'accéder aux données personnelles.
+ Définition des niveaux de classification des données et désignation d'au moins une clé dédiée gérée par le client par niveau. Par exemple, vous pouvez avoir une clé pour chiffrer les données opérationnelles et une autre pour chiffrer les données personnelles.
+ Empêcher l'accès involontaire aux clés KMS entre comptes.
+ Stockage des clés KMS dans la même ressource Compte AWS que la ressource à chiffrer.
+ Mise en œuvre de la séparation des tâches pour l'administration et l'utilisation des clés KMS. Pour plus d'informations, consultez [Comment utiliser KMS et IAM pour activer des contrôles de sécurité indépendants pour les données chiffrées dans S3](https://aws.amazon.com/blogs/security/how-to-use-kms-and-iam-to-enable-independent-security-controls-for-encrypted-data-in-s3/) (article de AWS blog).
+ Renforcer la rotation automatique des clés grâce à des glissières de sécurité préventives et réactives.

Par défaut, les clés KMS sont stockées et ne peuvent être utilisées que dans la région où elles ont été créées. Si votre organisation a des exigences spécifiques en matière de résidence et de souveraineté des données, déterminez si [les clés KMS multirégionales](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) sont adaptées à votre cas d'utilisation. Les clés multirégionales sont des clés KMS spécifiques, différentes, Régions AWS qui peuvent être utilisées de manière interchangeable. Le processus de création d'une clé multirégionale déplace votre matériel clé au-delà des Région AWS frontières internes AWS KMS, de sorte que cette absence d'isolement régional peut ne pas être compatible avec les objectifs de souveraineté et de résidence de votre organisation. L'un des moyens de résoudre ce problème consiste à utiliser un autre type de clé KMS, par exemple une clé gérée par le client spécifique à une région.

### Magasins de clés externes
<a name="external-key-stores"></a>

Pour de nombreuses entreprises, le magasin de AWS KMS clés par défaut AWS Cloud peut satisfaire à leurs exigences en matière de souveraineté des données et de réglementation générale. Mais certains peuvent exiger que les clés de chiffrement soient créées et maintenues en dehors d'un environnement cloud et que vous disposiez de voies d'autorisation et d'audit indépendantes. Grâce aux [stockages de clés externes](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html) AWS KMS intégrés, vous pouvez chiffrer les données personnelles à l'aide de documents clés que votre organisation possède et contrôle en dehors de AWS Cloud celui-ci. Vous interagissez toujours avec l' AWS KMS API comme d'habitude, mais uniquement AWS KMS avec le logiciel proxy de [stockage de clés externe (proxy XKS)](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html#concept-xks-proxy) que vous fournissez. Votre proxy de stockage de clés externe assure ensuite la médiation de toutes les communications entre AWS KMS et votre gestionnaire de clés externe.

Lorsque vous utilisez un magasin de clés externe pour le chiffrement des données, il est important de prendre en compte la surcharge opérationnelle supplémentaire par rapport à la conservation des clés AWS KMS. Avec un magasin de clés externe, vous devez créer, configurer et gérer le magasin de clés externe. En outre, en cas d'erreur dans l'infrastructure supplémentaire que vous devez gérer, telle que le proxy XKS, et que la connectivité est perdue, les utilisateurs peuvent être temporairement incapables de déchiffrer les données et d'y accéder. Travaillez en étroite collaboration avec vos parties prenantes en matière de conformité et de réglementation pour comprendre les obligations légales et contractuelles relatives au chiffrement des données personnelles et vos accords de niveau de service en matière de disponibilité et de résilience.

## AWS Lake Formation
<a name="lake-formation"></a>

De nombreuses organisations qui cataloguent et classent leurs ensembles de données par le biais de catalogues de métadonnées structurés souhaitent partager ces ensembles de données au sein de leur organisation. Vous pouvez utiliser des politiques d'autorisation Gestion des identités et des accès AWS (IAM) pour contrôler l'accès à des ensembles de données complets, mais un contrôle plus précis est souvent nécessaire pour les ensembles de données contenant des données personnelles de sensibilité variable. Par exemple, la [spécification de l'objectif et la limitation d'utilisation](https://www.fpc.gov/resources/fipps/) (site Web du FPC) peuvent indiquer qu'une équipe marketing a besoin d'accéder aux adresses des clients, mais pas une équipe de science des données.

Les [lacs de données](https://aws.amazon.com/big-data/datalakes-and-analytics/datalakes/), qui centralisent l'accès à de grandes quantités de données sensibles dans leur format d'origine, posent également des problèmes de confidentialité. La plupart des données d'une organisation étant accessibles de manière centralisée en un seul endroit, la séparation logique des ensembles de données, en particulier ceux contenant des données personnelles, peut être primordiale. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html)peut vous aider à configurer la gouvernance et la surveillance lors du partage de données, qu'elles proviennent d'une source unique ou de plusieurs sources contenues dans un lac de données. Dans le AWS PRA, vous pouvez utiliser Lake Formation pour fournir un contrôle d'accès précis aux données du compartiment de données partagé du compte Data.

Vous pouvez utiliser la fonction de [contrôle d'accès basée sur des balises](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html) dans Lake Formation. Le *contrôle d'accès basé sur des balises* est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. Dans Lake Formation, ces attributs sont appelés balises *LF*. À l'aide d'une balise LF, vous pouvez associer ces balises aux bases de données, aux tables et aux colonnes du catalogue de données et accorder les mêmes balises aux principaux IAM. Lake Formation autorise les opérations sur ces ressources lorsque le principal a obtenu l'accès à une valeur de balise qui correspond à la valeur de l'étiquette de ressource. L'image suivante montre comment attribuer des balises LF et des autorisations pour fournir un accès différencié aux données personnelles.

![\[Les balises LF contrôlent les colonnes du tableau auxquelles les équipes peuvent accéder.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/privacy-reference-architecture/images/lake-formation-tags.png)


Cet exemple utilise la nature hiérarchique des balises. Les deux bases de données contiennent des informations personnellement identifiables (`PII:true`), mais les balises au niveau des colonnes limitent les colonnes spécifiques aux différentes équipes. Dans cet exemple, les principaux IAM dotés de la `PII:true` balise LF peuvent accéder aux ressources de AWS Glue base de données dotées de cette balise. Les principaux dotés de la `LOB:DataScience` balise LF peuvent accéder à des colonnes spécifiques dotées de cette balise, et les principaux dotés de la balise `LOB:Marketing` LF ne peuvent accéder qu'aux colonnes dotées de cette balise. Le service marketing peut accéder uniquement aux informations personnelles pertinentes pour les cas d'utilisation marketing, et l'équipe de science des données ne peut accéder qu'aux informations personnelles pertinentes pour leurs cas d'utilisation.

## Zones locales AWS
<a name="aws-local-zones"></a>

Si vous devez respecter les exigences relatives à la résidence des données, vous pouvez déployer des ressources qui stockent et traitent les données personnelles spécifiquement Régions AWS pour répondre à ces exigences. Vous pouvez également utiliser [Zones locales AWS](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html), ce qui vous permet de placer des ressources de calcul, de stockage, de base de données et d'autres AWS ressources sélectionnées à proximité de grands centres industriels et peuplés. Une zone locale est une extension d'une Région AWS zone située à proximité géographique d'une grande région métropolitaine. Vous pouvez placer des types spécifiques de ressources dans une zone locale, à proximité de la région à laquelle correspond la zone locale. Les Zones Locales peuvent vous aider à satisfaire aux exigences de résidence des données lorsqu'une région n'est pas disponible au sein de la même juridiction légale. Lorsque vous utilisez des Zones Locales, tenez compte des contrôles de résidence des données déployés au sein de votre organisation. Par exemple, vous pourriez avoir besoin d'un contrôle pour empêcher les transferts de données d'une zone locale spécifique vers une autre région. Pour plus d'informations sur la manière de SCPs maintenir des barrières de sécurité en matière de transfert de données transfrontalier, consultez [Bonnes pratiques pour gérer la résidence des données lors de Zones locales AWS l'utilisation des contrôles de zone d'atterrissage](https://aws.amazon.com/blogs/compute/best-practices-for-managing-data-residency-in-aws-local-zones-using-landing-zone-controls/) (article de AWS blog).

## AWS Enclaves Nitro
<a name="nitro-enclaves"></a>

Réfléchissez à votre stratégie de segmentation des données du point de vue du traitement, par exemple le traitement des données personnelles avec un service informatique tel qu'Amazon Elastic Compute Cloud (Amazon EC2). L'informatique confidentielle dans le cadre d'une stratégie d'architecture plus large peut vous aider à isoler le traitement des données personnelles dans une enclave CPU isolée, protégée et fiable. Les enclaves sont des machines virtuelles distinctes, renforcées et soumises à des contraintes élevées. [AWS Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html) est une fonctionnalité d'Amazon EC2 qui peut vous aider à créer ces environnements informatiques isolés. Pour plus d'informations, consultez [La conception de la sécurité du système AWS Nitro](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html) (AWS livre blanc).

Les enclaves Nitro déploient un noyau séparé du noyau de l'instance parent. Le noyau de l'instance parent n'a pas accès à l'enclave. Les utilisateurs ne peuvent pas utiliser le protocole SSH ou accéder à distance aux données et aux applications de l'enclave. Les applications qui traitent des données personnelles peuvent être intégrées dans l'enclave et configurées pour utiliser le [Vsock](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-concepts.html#term-socket) de l'enclave, le socket qui facilite la communication entre l'enclave et l'instance parent.

L'un des cas d'utilisation dans lesquels Nitro Enclaves peut être utile est le traitement conjoint entre deux processeurs de données distincts Régions AWS et susceptibles de ne pas se faire confiance. L'image suivante montre comment vous pouvez utiliser une enclave pour le traitement centralisé, une clé KMS pour chiffrer les données personnelles avant leur envoi à l'enclave et une AWS KMS key politique qui vérifie que l'enclave demandant le déchiffrement possède les mesures uniques indiquées dans son document d'attestation. Pour plus d'informations et d'instructions, consultez la section [Utilisation d'une attestation cryptographique avec AWS KMS](https://docs.aws.amazon.com/enclaves/latest/user/kms.html). Pour un exemple de politique clé, consultez [Exiger une attestation pour utiliser une AWS KMS clé](require-attestation-for-kms-key.md) ce guide.

![\[Utilisation de AWS Nitro Enclave pour traiter les données chiffrées dans les compartiments Amazon S3 de différents comptes.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/privacy-reference-architecture/images/nitro-enclave.png)


Avec cette implémentation, seuls les processeurs de données respectifs et l'enclave sous-jacente ont accès aux données personnelles en texte clair. Le seul endroit où les données sont exposées, en dehors de l'environnement des processeurs de données respectifs, est dans l'enclave elle-même, qui est conçue pour empêcher l'accès et la falsification.

## AWS PrivateLink
<a name="privatelink"></a>

De nombreuses entreprises souhaitent limiter l'exposition des données personnelles à des réseaux non fiables. Par exemple, si vous souhaitez améliorer la confidentialité de la conception globale de votre architecture d'application, vous pouvez segmenter les réseaux en fonction de la sensibilité des données (similaire à la séparation logique et physique des ensembles de données décrite dans la [Services AWS et des fonctionnalités qui aident à segmenter les données](#segment-data) section). [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)vous permet de créer des connexions privées unidirectionnelles entre vos clouds privés virtuels (VPCs) et des services extérieurs au VPC. Vous pouvez ainsi configurer des connexions privées dédiées aux services qui stockent ou traitent des données personnelles dans votre environnement ; il n'est pas nécessaire de vous connecter à des points de terminaison publics et de transférer ces données sur des réseaux publics non fiables. AWS PrivateLink Lorsque vous activez les points de terminaison de AWS PrivateLink service pour les services concernés, il n'est pas nécessaire de disposer d'une passerelle Internet, d'un périphérique NAT, d'une adresse IP publique, d'une AWS Direct Connect connexion ou d' AWS Site-to-Site VPN une connexion pour communiquer. Lorsque vous vous connectez AWS PrivateLink à un service qui fournit un accès aux données personnelles, vous pouvez utiliser des politiques de point de terminaison VPC et des groupes de sécurité pour contrôler l'accès, conformément à la définition du [périmètre de données](https://aws.amazon.com/identity/data-perimeters-on-aws/) de votre organisation. Pour un exemple de politique de point de terminaison VPC autorisant uniquement les principes et les AWS ressources IAM d'une organisation fiable à accéder à un point de terminaison de service, consultez ce guide[Exiger l'adhésion à l'organisation pour accéder aux ressources VPC](require-organization-membership.md).

## AWS Resource Access Manager
<a name="aws-ram-pd-account"></a>

[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) vous permet de partager vos ressources en toute sécurité afin Comptes AWS de réduire les frais opérationnels et de garantir visibilité et auditabilité. Lorsque vous planifiez votre stratégie de segmentation multi-comptes, pensez AWS RAM à partager les banques de données personnelles que vous stockez dans un compte distinct et isolé. Vous pouvez partager ces données personnelles avec d'autres comptes fiables à des fins de traitement. Dans AWS RAM, vous pouvez [gérer les autorisations](https://docs.aws.amazon.com/ram/latest/userguide/security-ram-permissions.html) qui définissent les actions pouvant être effectuées sur les ressources partagées. Tous les appels d'API AWS RAM sont connectés CloudTrail. Vous pouvez également configurer Amazon CloudWatch Events pour qu'il vous avertisse automatiquement en cas d'événements spécifiques AWS RAM, par exemple lorsque des modifications sont apportées à un partage de ressources.

Bien que vous puissiez partager de nombreux types de AWS ressources avec d'autres personnes en Comptes AWS utilisant des politiques basées sur les ressources dans IAM ou des politiques de compartiment dans Amazon S3, cela AWS RAM offre plusieurs avantages supplémentaires en termes de confidentialité. AWS fournit aux propriétaires de données une visibilité supplémentaire sur la manière dont les données sont partagées et avec qui Comptes AWS, notamment :
+ Possibilité de partager une ressource avec une unité d'organisation complète au lieu de mettre à jour manuellement les listes de comptes IDs
+ Application du processus d'invitation pour l'initiation du partage si le compte client ne fait pas partie de votre organisation
+ Visibilité sur les principaux responsables de l'IAM ayant accès à chaque ressource individuelle

Si vous avez déjà utilisé une politique basée sur les ressources pour gérer un partage de ressources et que vous souhaitez l'utiliser à la AWS RAM place, utilisez l'opération [PromoteResourceShareCreatedFromPolicy](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html)API.

## Amazon SageMaker AI
<a name="sagemaker"></a>

[Amazon SageMaker AI](https://aws.amazon.com/blogs/machine-learning/implement-model-independent-safety-measures-with-amazon-bedrock-guardrails/) est un service géré d'apprentissage automatique (ML) qui vous aide à créer et à former des modèles de machine learning, puis à les déployer dans un environnement hébergé prêt pour la production. SageMaker L'IA est conçue pour faciliter la préparation des données d'entraînement et la création des fonctionnalités du modèle.

### Amazon SageMaker Model Monitor
<a name="sagemaker-model-monitor"></a>

De nombreuses entreprises prennent en compte la dérive des données lors de la formation de modèles de machine learning. La dérive des données est une variation significative entre les données de production et les données utilisées pour entraîner un modèle ML, ou une modification significative des données d'entrée au fil du temps. La dérive des données peut réduire la qualité, la précision et l'équité globales des prédictions des modèles ML. Si la nature statistique des données qu'un modèle ML reçoit en production s'éloigne de la nature des données de référence sur lesquelles il a été entraîné, la précision des prédictions peut diminuer. [Amazon SageMaker Model Monitor peut surveiller](https://docs.aws.amazon.com/sagemaker/latest/dg/model-monitor.html) en permanence la qualité des modèles d'apprentissage automatique Amazon SageMaker AI en production et surveiller la qualité des données. La détection précoce et proactive de la dérive des données peut vous aider à mettre en œuvre des mesures correctives, telles que la reconversion des modèles, l'audit des systèmes en amont ou la résolution des problèmes de qualité des données. Model Monitor peut réduire le besoin de surveiller manuellement les modèles ou de créer des outils supplémentaires.

### Amazon SageMaker Clarifier
<a name="sagemaker-clarify"></a>

[Amazon SageMaker Clarify](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html) fournit des informations sur le biais et l'explicabilité du modèle. SageMaker Clarify est couramment utilisé lors de la préparation des données du modèle ML et de la phase globale de développement. Les développeurs peuvent spécifier des attributs intéressants, tels que le sexe ou l'âge, et SageMaker Clarify exécute un ensemble d'algorithmes pour détecter toute présence de biais dans ces attributs. Une fois l'algorithme exécuté, SageMaker Clarify fournit un rapport visuel avec une description des sources et des mesures du biais possible afin que vous puissiez identifier les étapes à suivre pour remédier au biais. Par exemple, dans un ensemble de données financières qui ne contient que quelques exemples de prêts commerciaux accordés à un groupe d'âge par rapport à d'autres, vous SageMaker pourriez détecter des déséquilibres afin d'éviter un modèle qui défavorise ce groupe d'âge. Vous pouvez également vérifier la présence de biais dans les modèles déjà entraînés en examinant leurs prévisions et en surveillant en permanence la présence de biais dans ces modèles de ML. Enfin, SageMaker Clarify est intégré à [Amazon SageMaker AI Experiments](https://docs.aws.amazon.com/sagemaker/latest/dg/experiments.html) pour fournir un graphique qui explique les caractéristiques qui ont le plus contribué au processus global de prévision d'un modèle. Ces informations peuvent être utiles pour obtenir des résultats d'explicabilité, et elles peuvent vous aider à déterminer si une entrée de modèle particulière a plus d'influence qu'elle ne le devrait sur le comportement global du modèle.

### Carte SageMaker modèle Amazon
<a name="sagemaker-model-card"></a>

[Amazon SageMaker Model Card](https://docs.aws.amazon.com/sagemaker/latest/dg/model-cards.html) peut vous aider à documenter les détails essentiels de vos modèles de machine learning à des fins de gouvernance et de reporting. Ces informations peuvent inclure le propriétaire du modèle, l'objectif général, les cas d'utilisation prévus, les hypothèses formulées, l'évaluation du risque d'un modèle, les détails et les indicateurs de formation, ainsi que les résultats de l'évaluation. Pour plus d'informations, voir [Explicabilité du modèle avec les solutions d'intelligence AWS artificielle et de Machine Learning](https://docs.aws.amazon.com/whitepapers/latest/model-explainability-aws-ai-ml/model-explainability-aws-ai-ml.html) (AWS livre blanc).

### Amazon SageMaker Data Wrangler
<a name="sagemaker-data-wrangler"></a>

[Amazon SageMaker Data Wrangler](https://aws.amazon.com/sagemaker/data-wrangler/) est un outil d'apprentissage automatique qui permet de rationaliser le processus de préparation des données et d'ingénierie des fonctionnalités. Il fournit une interface visuelle qui aide les scientifiques des données et les ingénieurs en apprentissage automatique à préparer et à transformer rapidement et facilement les données pour les utiliser dans des modèles d'apprentissage automatique. Avec Data Wrangler, vous pouvez importer des données provenant de différentes sources, telles qu'Amazon S3, Amazon Redshift et Amazon Athena. Vous pouvez ensuite utiliser plus de 300 transformations de données intégrées pour nettoyer, normaliser et combiner des fonctionnalités sans avoir à écrire de code.

Le Data Wrangler peut être utilisé dans le cadre du processus de préparation des données et d'ingénierie des fonctionnalités du AWS PRA. Il prend en charge le chiffrement des données au repos et en transit en utilisant AWS KMS des rôles et des politiques IAM pour contrôler l'accès aux données et aux ressources. Il prend en charge le masquage des données via AWS Glue [Amazon SageMaker Feature Store.](https://docs.aws.amazon.com/sagemaker/latest/dg/feature-store.html) Si vous intégrez Data Wrangler à Data Wrangler AWS Lake Formation, vous pouvez appliquer des contrôles d'accès aux données et des autorisations précis. Vous pouvez même utiliser Data Wrangler avec Amazon Comprehend pour supprimer automatiquement les données personnelles des données tabulaires dans le cadre de votre flux de travail ML Ops plus large. Pour plus d'informations, consultez Supprimer [automatiquement les informations personnelles pour l'apprentissage automatique à l'aide d'Amazon SageMaker Data Wrangler](https://aws.amazon.com/blogs/machine-learning/automatically-redact-pii-for-machine-learning-using-amazon-sagemaker-data-wrangler/) (AWS article de blog).

La polyvalence de Data Wrangler vous permet de masquer les données sensibles de nombreux secteurs, telles que les numéros de compte, les numéros de carte de crédit, les numéros de sécurité sociale, les noms des patients et les dossiers médicaux et militaires. Vous pouvez limiter l'accès aux données sensibles ou choisir de les supprimer.

## AWS fonctionnalités qui aident à gérer le cycle de vie des données
<a name="manage-data-lifecycle"></a>

Lorsque les données personnelles ne sont plus nécessaires, vous pouvez utiliser le cycle de vie et time-to-live les politiques des données dans de nombreux magasins de données différents. Lors de la configuration des politiques de conservation des données, tenez compte des emplacements suivants susceptibles de contenir des données personnelles :
+ Bases de données, telles qu'Amazon DynamoDB et Amazon Relational Database Service (Amazon RDS)
+ Compartiments Amazon S3
+ Logs provenant de CloudWatch et CloudTrail
+ Données mises en cache provenant de migrations dans AWS Database Migration Service (AWS DMS) et AWS Glue DataBrew de projets
+ Sauvegardes et instantanés

Les fonctionnalités Services AWS et fonctionnalités suivantes peuvent vous aider à configurer les politiques de conservation des données dans vos AWS environnements :
+ [Amazon S3 Lifecycle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) : ensemble de règles qui définissent les actions qu'Amazon S3 applique à un groupe d'objets. Dans la configuration du cycle de vie d'Amazon S3, vous pouvez créer des actions d'expiration qui définissent le moment où Amazon S3 supprime les objets expirés en votre nom. Pour plus d'informations, voir [Gestion du cycle de vie de votre stockage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html).
+ [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/snapshot-lifecycle.html) — Dans Amazon EC2, créez une politique qui automatise la création, la conservation et la suppression des instantanés Amazon Elastic Block Store (Amazon EBS) et des images Amazon Machine Images basées sur EBS (). AMIs
+ [DynamoDB Time to Live (TTL](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/TTL.html)) : définissez un horodatage par élément qui détermine le moment où un élément n'est plus nécessaire. Peu après la date et l'heure de l'horodatage spécifié, DynamoDB supprime l'élément de votre tableau.
+ [Paramètres de conservation CloudWatch des journaux dans Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) : vous pouvez ajuster la politique de conservation pour chaque groupe de journaux à une valeur comprise entre 1 jour et 10 ans.
+ [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)— Déployez de manière centralisée des politiques de protection des données pour configurer, gérer et gouverner votre activité de sauvegarde sur diverses AWS ressources, notamment les compartiments S3, les instances de base de données RDS, les tables DynamoDB, les volumes EBS, etc. Appliquez des politiques de sauvegarde à vos AWS ressources en spécifiant les types de ressources ou en fournissant une granularité supplémentaire en les appliquant en fonction des balises de ressources existantes. Auditez et générez des rapports sur les activités de sauvegarde à partir d'une console centralisée afin de répondre aux exigences de conformité en matière de sauvegarde.

## Services AWS et des fonctionnalités qui aident à segmenter les données
<a name="segment-data"></a>

La segmentation des données est le processus par lequel vous stockez les données dans des conteneurs distincts. Cela peut vous aider à fournir des mesures de sécurité et d'authentification différenciées pour chaque ensemble de données et à réduire l'impact de l'exposition sur votre ensemble de données dans son ensemble de données. Par exemple, au lieu de stocker toutes les données clients dans une grande base de données, vous pouvez segmenter ces données en groupes plus petits et plus faciles à gérer.

Vous pouvez utiliser la séparation physique et logique pour segmenter les données personnelles :
+ **Séparation physique** — Le fait de stocker des données dans des magasins de données distincts ou de distribuer vos données dans AWS des ressources distinctes. Bien que les données soient physiquement séparées, les deux ressources peuvent être accessibles aux mêmes personnes. C'est pourquoi nous recommandons de combiner séparation physique et séparation logique.
+ **Séparation logique** — Action d'isoler des données à l'aide de contrôles d'accès. Les différentes fonctions professionnelles nécessitent différents niveaux d'accès à des sous-ensembles de données personnelles. Pour un exemple de politique qui implémente la séparation logique, consultez [Accorder l'accès à des attributs Amazon DynamoDB spécifiques](grant-access-dynamodb-attributes.md) ce guide.

La combinaison d'une séparation logique et physique apporte flexibilité, simplicité et granularité lors de la rédaction de politiques basées sur l'identité et les ressources afin de permettre un accès différencié entre les fonctions professionnelles. Par exemple, il peut être complexe d'un point de vue opérationnel de créer les politiques qui séparent logiquement les différentes classifications de données dans un même compartiment S3. L'utilisation de compartiments S3 dédiés pour chaque classification de données simplifie la configuration et la gestion des politiques.

## Services AWS et des fonctionnalités qui permettent de découvrir, de classer ou de cataloguer les données
<a name="discovery-classification"></a>

Certaines entreprises n'ont pas encore commencé à utiliser les outils d'extraction, de chargement et de transformation (ELT) dans leur environnement pour cataloguer leurs données de manière proactive. Ces clients en sont peut-être à un stade précoce de découverte des données, au cours duquel ils souhaitent mieux comprendre les données dans lesquelles ils stockent AWS et traitent, ainsi que leur structure et leur classification. Vous pouvez utiliser [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/data-classification.html) pour mieux comprendre vos données personnelles dans Amazon S3. Amazon Macie ne peut toutefois pas vous aider à analyser d'autres sources de données, telles qu'Amazon Relational Database Service (Amazon RDS) et Amazon Redshift. Vous pouvez utiliser deux approches pour accélérer la découverte initiale au début d'un [exercice de mappage de données](https://securiti.ai/blog/evolve-your-data-mapping/) de plus grande envergure :
+ **Approche manuelle** — Créez un tableau avec deux colonnes et autant de lignes que nécessaire. Dans la première colonne, écrivez une caractérisation des données (telle que le nom d'utilisateur, l'adresse ou le sexe) qui peut figurer dans l'en-tête ou le corps d'un paquet réseau ou dans tout service que vous fournissez. Demandez à votre équipe de conformité de remplir la deuxième colonne. Dans la deuxième colonne, entrez « oui » si les données sont considérées comme personnelles et « non » si elles ne le sont pas. Indiquez tout type de données personnelles jugées particulièrement sensibles, telles que les données relatives à la dénomination religieuse ou à la santé.
+ **Approche automatisée** — Utilisez l'outillage fourni par AWS Marketplace. [Securiti](https://securiti.ai/) est l'un de ces outils. Ces solutions proposent des intégrations qui leur permettent de scanner et de découvrir des données provenant de plusieurs types de AWS ressources, ainsi que des actifs d'autres plateformes de services cloud. Nombre de ces mêmes solutions peuvent collecter et maintenir en permanence un inventaire des actifs de données et des activités de traitement des données dans un catalogue de données centralisé. Si vous utilisez un outil pour effectuer une classification automatisée, il peut être nécessaire d'ajuster les règles de découverte et de classification afin de les aligner sur la définition des données personnelles de votre organisation.