Protection de plusieurs types de données

Protection des données dans Athena

Le modèle de responsabilité partagée AWS s'applique à la protection des données dans Amazon Athena. Comme décrit dans ce modèle, AWS est responsable de la protection de l’infrastructure globale sur laquelle l’ensemble du AWS Cloud s’exécute. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécurité AWS.

À des fins de protection des données, nous vous recommandons de protéger les informations d’identification Compte AWS et de configurer les comptes utilisateur individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
Utilisez les certificats SSL/TLS pour communiquer avec les ressources AWS. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
Configurez une API (Interface de programmation) et la journalisation des activités des utilisateurs avec AWS CloudTrail. Pour plus d’informations sur l’utilisation des sentiers CloudTrail pour capturer des activités AWS, consultez la section Utilisation des sentiers CloudTrail dans le Guide de l’utilisateur AWS CloudTrail.
Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des Services AWS.
Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
Si vous avez besoin de modules de chiffrement validés FIPS (Federal Information Processing Standard) 140-3 lorsque vous accédez à AWS via une interface de ligne de commande ou une API (interface de programmation), utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez Norme FIPS (Federal Information Processing Standard) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. C’est notamment le cas lorsque vous utilisez Athena ou d’autres Services AWS à l’aide de la console, de l’API, de AWS CLI ou des kits SDK AWS. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Une étape de sécurité supplémentaire consiste à utiliser la clé contextuelle de condition globale aws:CalledVia pour limiter les requêtes à celles effectuées à partir d'Athena. Pour de plus amples informations, consultez Utilisation de clés de contexte CalledVia pour Athena.

Protection de plusieurs types de données

Plusieurs types de données sont impliqués lorsque vous utilisez Athena pour créer des bases de données et des tables. Ces types de données comprennent les données source stockées dans Simple Storage Service (Amazon S3), les métadonnées des bases de données et des tables que vous créez lorsque vous exécutez les requêtes ou le crawler AWS Glue pour découvrir les données, les données des résultats des requêtes et l'historique des requêtes. Cette section décrit chaque type de données et fournit des conseils sur sa protection.

Données sources – Vous stockez les données des bases de données et des tables dans Amazon S3 et Athena ne les modifie pas. Pour de plus amples informations, consultez la section Protection des données dans Simple Storage Service (Amazon S3) dans le Guide de l'utilisateur Amazon Simple Storage Service. Vous contrôlez l'accès à vos données source et pouvez les chiffrer dans Simple Storage Service (Amazon S3). Vous pouvez utiliser Athena pour créer des tables en fonction des ensembles de données chiffrés dans Simple Storage Service (Amazon S3).
Métadonnées de la base de données et des tables (schéma) : Athena utilise une technologie schema-on-read, ce qui signifie que vos définitions de table sont appliquées à vos données dans Simple Storage Service (Amazon S3) quand Athena exécute les requêtes. Tous les schémas que vous définissez sont automatiquement enregistrés, sauf si vous les supprimez de manière explicite. Dans Athena, vous pouvez modifier les métadonnées du catalogue de données à l'aide d'instructions DDL. Vous pouvez supprimer les définitions de table et les schémas sans affecter les données sous-jacentes stockées dans Simple Storage Service (Amazon S3). Les métadonnées des bases de données et des tables que vous utilisez dans Athena sont stockées dans le catalogue AWS Glue Data Catalog.

Vous pouvez définir des politiques détaillées d'accès aux bases de données et tables enregistrés dans le AWS Glue Data Catalog avec Gestion des identités et des accès AWS (IAM). Vous pouvez également chiffrer les métadonnées dans le AWS Glue Data Catalog. Si vous chiffrez les métadonnées, utilisez des autorisations d'accès aux métadonnées chiffrées.
Résultats de requête et historique des requêtes, y compris les requêtes enregistrées : les résultats de requête sont stockés dans un emplacement dans Simple Storage Service (Amazon S3) que vous pouvez choisir de spécifier globalement ou pour chaque groupe de travail. En l'absence de spécification, Athena utilise l'emplacement par défaut dans chaque cas. Vous contrôlez l'accès aux compartiments Simple Storage Service (Amazon S3) où vous stockez les résultats des requêtes et les requêtes enregistrées. De plus, vous pouvez choisir de chiffrer les résultats de requête que vous stockez dans Simple Storage Service (Amazon S3). Les utilisateurs doivent avoir les autorisations appropriées pour accéder aux emplacements Simple Storage Service (Amazon S3) et déchiffrer les fichiers. Pour plus d'informations, consultez Chiffrement des résultats de requêtes Athena stockés dans Amazon S3 dans ce document.

Athena conserve l'historique des requêtes pendant 45 jours. Vous pouvez consulter l'historique des requêtes à l'aide des API, de la console et de AWS CLI. Pour stocker les requêtes pendant plus de 45 jours, enregistrez-les. Pour protéger l'accès aux requêtes enregistrées, utilisez les groupes de travail dans Athena, en limitant l'accès aux requêtes enregistrées uniquement aux utilisateurs qui sont autorisés à les consulter.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Sécurité

Chiffrement au repos