Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Protection des données dans Amazon Rekognition
Le modèle de [responsabilité AWS partagée Le modèle](https://aws.amazon.com/compliance/shared-responsibility-model/) s'applique à la protection des données dans Amazon Rekognition. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Rekognition ou Services AWS autre à l'aide de la console, de l'API ou. AWS CLI AWS SDKs Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
# Chiffrement des données
Les informations suivantes expliquent dans quels cas Amazon Rekognition utilise le chiffrement des données pour protéger vos données.
## Chiffrement au repos
### Image Amazon Rekognition
#### Images
Les images transmises aux opérations de l’API Amazon Rekognition peuvent être stockées et utilisées pour améliorer le service, sauf si vous vous désinscrivez en vous rendant sur la [page de politique de désinscription des services d’intelligence artificielle](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) et en suivant le processus qui y est expliqué. Les images stockées sont chiffrées au repos (Amazon S3) à l’aide d’AWS Key Management Service (SSE-KMS).
#### Collections
Pour les opérations de comparaison de visages qui stockent des informations dans une collection, l’algorithme de détection sous-jacent détecte d’abord les visages de l’image en entrée, extrait un vecteur pour chaque d’entre eux, puis stocke les vecteurs faciaux dans la collection. Amazon Rekognition utilise ces vecteurs faciaux lors de l'exécution d’une comparaison faciale. Les vecteurs faciaux sont stockés sous la forme d’un ensemble de valeurs flottantes et chiffrées au repos.
### Vidéo Amazon Rekognition
#### Vidéos
Pour analyser une vidéo, Amazon Rekognition copie vos vidéos dans le service pour traitement. Les images peuvent être stockées et utilisées pour améliorer le service, sauf si vous vous désinscrivez en vous rendant sur la page de [politique de désinscription des services d’intelligence artificielle](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) et en suivant le processus qui y est expliqué. Les vidéos sont chiffrées au repos (Amazon S3) à l’aide d’AWS Key Management Service (SSE-KMS).
### Étiquettes personnalisées Amazon Rekognition
Étiquettes personnalisées Amazon Rekognition chiffre vos données au repos.
#### Images
Pour entraîner votre modèle, Étiquettes personnalisées Amazon Rekognition crée une copie de vos images d’entraînement et de test source. Les images copiées sont chiffrées au repos dans Amazon Simple Storage Service (S3) à l'aide d'un chiffrement côté serveur avec AWS KMS key une clé KMS que vous fournissez ou AWS que vous possédez. Étiquettes personnalisées Amazon Rekognition prend uniquement en charge les clés KMS symétriques. Vos images sources ne sont pas affectées. Pour de plus amples informations, veuillez consulter [Entraînement d’un modèle étiquettes personnalisées Amazon Rekognition](https://docs.aws.amazon.com/rekognition/latest/customlabels-dg/tm-train-model.html).
#### Modèles
Par défaut, Étiquettes personnalisées Amazon Rekognition chiffre les modèles entraînés et les fichiers de manifeste stockés dans des compartiments Amazon S3 à l’aide d’un chiffrement côté serveur avec un Clé détenue par AWS. Pour plus d’informations, consultez [Protection des données à l’aide du chiffrement côté serveur](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html). Les résultats d'entraînement sont écrits dans le compartiment spécifié dans le paramètre `OutputConfig` d'entrée to [CreateProjectVersion](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateProjectVersion.html). Les résultats de l’entraînement sont chiffrés à l’aide des paramètres de chiffrement configurés pour le compartiment (`OutputConfig`).
#### Compartiment de la console
La console Étiquettes personnalisées Amazon Rekognition crée un compartiment Amazon S3 (compartiment de console) que vous pouvez utiliser pour gérer vos projets. Le compartiment de console est chiffré à l’aide du chiffrement par défaut d’Amazon S3. Pour plus d’informations, veuillez consulter la rubrique [Chiffrement par défaut Amazon S3 pour les compartiments S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html). Si vous utilisez votre propre clé KMS, configurez le compartiment de console après sa création. Pour plus d’informations, consultez [Protection des données à l’aide du chiffrement côté serveur](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html). Les étiquettes personnalisées Amazon Rekognition bloquent l’accès public au compartiment de console.
### Rekognition Face Liveness
Toutes les données relatives à la session stockées dans le compte du service Rekognition Face Liveness sont entièrement chiffrées au repos. Par défaut, les images de référence et d’audit sont chiffrées à l’aide d’une clé AWS détenue dans le compte de service. Cependant, vous pouvez choisir de fournir vos propres AWS KMS clés pour chiffrer ces images.
## Chiffrement en transit
Les points de terminaison d’API Amazon Rekognition ne prennent en charge que des connexions sécurisées sur HTTPS. Toutes les communications sont chiffrées avec Transport Layer Security (TLS).
## Gestion des clés
Vous pouvez utiliser AWS Key Management Service (KMS) pour gérer les clés des images et vidéos en entrée que vous stockez dans des compartiments Amazon S3. Pour de plus amples informations, veuillez consulter [Concepts d’AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys).
### Chiffrement de clés géré par le client pour Face Liveness
L'[CreateFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateFaceLivenessSession.html)API prend en compte un `KmsKeyId` paramètre facultatif. Vous pouvez fournir l’`id` de la clé KMS que vous avez créée dans votre compte. Cette clé sera utilisée pour chiffrer les images de référence et d'audit obtenues pendant l'[StartFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_StartFaceLivenessSession.html)API, et pendant [GetFaceLivenessSessionResults](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_GetFaceLivenessSessionResults.html)l'API, les images seront déchiffrées à l'aide de cette clé avant de renvoyer les résultats. Si la CreateFaceLivenessSession demande inclut un OutputConfig, les images de référence et d'audit seront téléchargées sur les chemins Amazon S3 spécifiés. Nous vous recommandons d’activer le chiffrement côté serveur ([SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)) dans vos compartiments Amazon S3 afin que les données restent chiffrées au repos.
Lorsque vous fournissez votre propre identifiant de AWS KMS clé, le service Rekognition Face Liveness est autorisé à utiliser la clé gérée par le client pour le compte du principal qui invoque le. APIs Les principaux (utilisateurs ou rôles) utilisés pour invoquer le backend APIs du client (APIs`CreateFaceLivenessSession`et`GetFaceLivenessSessionResults`) doivent y avoir accès pour effectuer les opérations suivantes :
+ km : DescribeKey
+ km : GenerateDataKey
+ kms:Decrypt
# Confidentialité du trafic inter-réseau
Un point de terminaison d’Amazon Virtual Private Cloud (Amazon VPC) pour Amazon Rekognition est une entité logique au sein d’un VPC qui autorise la connectivité uniquement à Amazon Rekognition. Amazon VPC achemine les demandes vers Amazon Rekognition et les réponses en retour vers le VPC. Pour plus d’informations, consultez [Points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) dans le *Guide de l’utilisateur Amazon VPC*. Pour plus d’informations sur l’utilisation des points de terminaison d’un VPC avec Amazon Rekognition, consultez [Utilisation d'Amazon Rekognition avec les points de terminaison d’un VPC Amazon](vpc.md).