View a markdown version of this page

Protection des données dans Amazon VPC Lattice - Amazon VPC Lattice
Chiffrement en transitChiffrement au repos

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Amazon VPC Lattice

Le modèle de responsabilité AWS partagée Le modèle s'applique à la protection des données dans Amazon VPC Lattice. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Ce contenu comprend les tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour en savoir plus sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

Chiffrement en transit

VPC Lattice est un service entièrement géré composé d'un plan de contrôle et d'un plan de données. Chaque avion a un objectif distinct dans le service. Le plan de contrôle fournit les API d'administration utilisées pour créer read/describe, mettre à jour, supprimer et répertorier les ressources (CRUDL) (par exemple, CreateService etUpdateService). Les communications avec le plan de contrôle VPC Lattice sont protégées en transit par le protocole TLS. Le plan de données est l'API VPC Lattice Invoke, qui assure l'interconnexion entre les services. Le protocole TLS chiffre les communications vers le plan de données VPC Lattice lorsque vous utilisez le protocole HTTPS ou le protocole TLS. La suite de chiffrement et la version du protocole utilisent les valeurs par défaut fournies par VPC Lattice et ne sont pas configurables. Pour de plus amples informations, veuillez consulter Écouteurs HTTPS pour les services VPC Lattice.

Chiffrement au repos

Par défaut, le chiffrement des données au repos permet de réduire la charge opérationnelle et la complexité liées à la protection des données sensibles. Dans le même temps, il vous permet de créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement.

Server-side chiffrement avec des clés gérées par Amazon S3 (SSE-S3)

Lorsque vous utilisez le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3), chaque objet est chiffré avec une clé unique. Comme mesure de protection supplémentaire, nous chiffrons la clé elle-même à l'aide d'une clé racine que nous changeons régulièrement. Le chiffrement côté serveur Amazon S3 utilise l'un des chiffrements par blocs les plus puissants disponibles, le GCM 256 bits Advanced Encryption Standard (AES-256), pour chiffrer vos données. Pour les objets chiffrés avant AES-GCM, le déchiffrement de ces objets AES-CBC est toujours pris en charge. Pour plus d'informations, consultez Utilisation du chiffrement côté serveur avec les clés de S3-managed chiffrement Amazon () SSE-S3.

Si vous activez le chiffrement côté serveur avec les clés de S3-managed chiffrement Amazon (SSE-S3) pour votre compartiment S3 pour les journaux d'accès VPC Lattice, nous chiffrons automatiquement chaque fichier journal d'accès avant qu'il ne soit stocké dans votre compartiment S3. Pour plus d'informations, consultez la section Logs envoyés à Amazon S3 dans le guide de CloudWatch l'utilisateur Amazon.

Server-side chiffrement avec AWS KMS clés stockées dans AWS KMS (SSE-KMS)

Server-side le chiffrement à l'aide de AWS KMS clés (SSE-KMS) est similaire à ce service SSE-S3, mais comporte des avantages et des frais supplémentaires. Il existe des autorisations distinctes pour la AWS KMS clé qui fournissent une protection supplémentaire contre l'accès non autorisé à vos objets dans Amazon S3. SSE-KMS vous fournit également une piste d'audit qui indique quand votre AWS KMS clé a été utilisée et par qui. Pour plus d'informations, consultez la section Utilisation du chiffrement côté serveur avec AWS Key Management Service () SSE-KMS.

Chiffrement et déchiffrement de la clé privée de votre certificat

Votre certificat ACM et votre clé privée sont chiffrés à l'aide d'une clé KMS AWS gérée portant l'alias aws/acm. Vous pouvez consulter l'ID de clé avec cet alias dans la AWS KMS console sous clés AWS gérées.

VPC Lattice n'accède pas directement à vos ressources ACM. Il utilise le gestionnaire de connexion AWS TLS pour sécuriser et accéder aux clés privées de votre certificat. Lorsque vous utilisez votre certificat ACM pour créer un service VPC Lattice, VPC Lattice associe votre certificat au TLS Connection Manager. AWS Cela se fait en créant une autorisation associée à AWS KMS votre clé AWS gérée avec le préfixe aws/acm. Une autorisation est un instrument de politique qui autorise TLS Connection Manager à utiliser des clés KMS dans les opérations de chiffrement. Elle permet au principal bénéficiaire (TLS Connection Manager) d’appeler les opérations d’autorisation spécifiées sur la clé KMS pour déchiffrer la clé privée de votre certificat. TLS Connection Manager utilise ensuite le certificat et la clé privée déchiffrée (texte brut) pour établir une connexion sécurisée (SSL/TLS session) avec les clients des services VPC Lattice. Lorsque le certificat est dissocié d'un service VPC Lattice, la subvention est retirée.

Si vous souhaitez supprimer l'accès à la clé KMS, nous vous recommandons de remplacer ou de supprimer le certificat du service à l'aide de la update-service commande AWS Management Console ou du AWS CLI.

Contexte de chiffrement pour VPC Lattice

Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur contenant des informations contextuelles sur l'utilisation que votre clé privée est susceptible d'être utilisée. AWS KMS lie le contexte de chiffrement aux données chiffrées et les utilise comme données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié.

Lorsque vos clés TLS sont utilisées avec VPC Lattice et le gestionnaire de connexions TLS, le nom de votre service VPC Lattice est inclus dans le contexte de chiffrement utilisé pour chiffrer votre clé au repos. Vous pouvez vérifier pour quel service VPC Lattice votre certificat et votre clé privée sont utilisés en consultant le contexte de chiffrement dans vos CloudTrail journaux, comme indiqué dans la section suivante, ou en consultant l'onglet Ressources associées de la console ACM.

Pour déchiffrer des données, le même contexte de chiffrement est inclus dans la demande. VPC Lattice utilise le même contexte de chiffrement dans toutes les opérations cryptographiques AWS KMS, où la clé aws:vpc-lattice:arn et la valeur sont le Amazon Resource Name (ARN) du service VPC Lattice.

L’exemple suivant présente le contexte de chiffrement dans la sortie d’une opération telle que CreateGrant.

"encryptionContextEquals": {
    "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}

Surveillance de vos clés de chiffrement pour VPC Lattice

Lorsque vous utilisez une clé AWS gérée avec votre service VPC Lattice, vous pouvez l'utiliser AWS CloudTrailpour suivre les demandes auxquelles VPC Lattice envoie. AWS KMS

CreateGrant

Lorsque vous ajoutez votre certificat ACM à un service VPC Lattice, CreateGrant une demande est envoyée en votre nom pour que TLS Connection Manager puisse déchiffrer la clé privée associée à votre certificat ACM

Vous pouvez visualiser l'CreateGrantopération sous forme d'événement dans CloudTrail, Historique des événements, CreateGrant.

Voici un exemple d'enregistrement d'événement dans l'historique des CloudTrail événements de l'CreateGrantopération.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::111122223333:user/Alice",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "IAMUser",
                "principalId": "EX_PRINCIPAL_ID",
                "arn": "arn:aws:iam::111122223333:user/Alice",
                "accountId": "111122223333",
                "userName": "Alice"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-06T23:30:50Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "acm.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:18Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "acm.amazonaws.com",
    "userAgent": "acm.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "tlsconnectionmanager.amazonaws.com",
        "keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "operations": [
            "Decrypt"
        ],
        "constraints": {
            "encryptionContextEquals": {
                "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
            }
        },
        "retiringPrincipal": "acm.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ba178361-8ab6-4bdd-9aa2-0d1a44b2974a",
    "eventID": "8d449963-1120-4d0c-9479-f76de11ce609",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Dans l'CreateGrantexemple ci-dessus, le bénéficiaire principal est TLS Connection Manager, et le contexte de chiffrement possède l'ARN du service VPC Lattice.

ListGrants

Vous pouvez utiliser votre identifiant de clé KMS et votre identifiant de compte pour appeler l'ListGrantsAPI. Vous obtenez ainsi une liste de toutes les autorisations pour la clé KMS spécifiée. Pour de plus amples informations, veuillez consulter ListGrants.

Utilisez la ListGrants commande suivante dans le AWS CLI pour voir les détails de toutes les subventions.

aws kms list-grants —key-id your-kms-key-id

Voici un exemple de sortie.

{
    "Grants": [
        {
            "Operations": [
                "Decrypt"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", 
            "Name": "IssuedThroughACM", 
            "RetiringPrincipal": "acm.us-west-2.amazonaws.com", 
            "GranteePrincipal": "tlsconnectionmanager.amazonaws.com", 
            "GrantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", 
            "IssuingAccount": "arn:aws:iam::111122223333:root", 
            "CreationDate": "2023-02-06T23:30:50Z", 
            "Constraints": {
                "encryptionContextEquals": {
                  "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                  "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
                }
            }
        }
    ]
}

Dans l'ListGrantsexemple ci-dessus, le bénéficiaire principal est TLS Connection Manager et le contexte de chiffrement possède l'ARN du service VPC Lattice.

Decrypt

VPC Lattice utilise le gestionnaire de connexions TLS pour appeler l'Decryptopération de déchiffrement de votre clé privée afin de servir les connexions TLS dans votre service VPC Lattice. Vous pouvez visualiser l'Decryptopération comme un CloudTrailévénement dans Historique des événements, Déchiffrer.

Voici un exemple d'enregistrement d'événement dans l'historique des CloudTrail événements de l'Decryptopération.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "tlsconnectionmanager.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "tlsconnectionmanager.amazonaws.com",
    "userAgent": "tlsconnectionmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12345126-30d5-4b28-98b9-9153da559963",
    "eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "eventCategory": "Management"
}