Protégez et isolez vos charges de travail hautement sensibles grâce à une enclave sécurisée
Ce guide explique comment créer une architecture cloud complète pour les charges de travail sensibles dans les domaines de la sécurité nationale, de la défense et des forces de l'ordre nationales. En utilisant une architecture multicomptes sur AWS, vous pouvez mener à bien vos missions tout en protégeant les données sensibles et les charges de travail. Ce guide est conçu pour vous aider à répondre à des exigences de sécurité et de conformité strictes et uniques, portant sur la gestion centralisée des identités et des accès, la gouvernance, la sécurité des données, la journalisation complète, ainsi que la conception et la segmentation du réseau conformément aux différents cadres de sécurité américains.
Veuillez noter : [Clause de non-responsabilité]
Diagramme d'architecture
-
Présentation
-
Compte de gestion de l'organisation
-
Comptes de sécurité
-
Comptes d'infrastructure
-
Comptes d'application, de communauté, d'équipe ou de groupe (sensibles)
-
Présentation
-
Ce schéma d'architecture fournit une vue d'ensemble de la façon de configurer des charges de travail complètes et multicomptes avec des exigences de sécurité et de conformité uniques. Pour plus de détails sur la façon de déployer ce guide, ouvrez les autres onglets.
Cliquer pour agrandir
Étape 1
Une organisation au sein d'AWS Organizations possédant plusieurs comptes, guidée par des politiques de contrôle des services (SCP) : l'organisation regroupe plusieurs comptes AWS distincts qui sont contrôlés par une seule entité cliente. Des comptes AWS distincts fournissent une isolation solide du plan de contrôle et du plan de données entre les charges de travail ou les environnements, comme s'ils appartenaient à différents clients AWS.Étape 2
Le compte de gestion est utilisé pour créer l'organisation. Depuis le compte de gestion de l'organisation, vous pouvez effectuer les opérations suivantes :- Créez des comptes dans l'organisation et gérez les politiques pour toutes les unités organisationnelles (UO).
- Adhérez aux UO suivantes à l'organisation :
- UO de sécurité
- UO d'infrastructure
- UO d'application sensible
Chaque UO aura un ou plusieurs comptes membres ou une UO imbriquée, par conception.
Étape 3
L'UO de l'application comportera plusieurs UO imbriquées dédiées à la fourniture des applications et à la gestion du cycle de vie et inclura les éléments suivants :- UO de développement
- UO de test
- UO de prod
- UO partagée
En outre, les UO de l'environnement de test peuvent également être provisionnées en tant que charges de travail non sensibles.
Étape 1
Une organisation au sein d'AWS Organizations possédant plusieurs comptes, guidée par des politiques de contrôle des services (SCP) : l'organisation regroupe plusieurs comptes AWS distincts qui sont contrôlés par une seule entité cliente. Des comptes AWS distincts fournissent une isolation solide du plan de contrôle et du plan de données entre les charges de travail ou les environnements, comme s'ils appartenaient à différents clients AWS.Étape 2
Le compte de gestion est utilisé pour créer l'organisation. Depuis le compte de gestion de l'organisation, vous pouvez effectuer les opérations suivantes :- Créez des comptes dans l'organisation et gérez les politiques pour toutes les unités organisationnelles (UO).
- Adhérez aux UO suivantes à l'organisation :
- UO de sécurité
- UO d'infrastructure
- UO d'application sensible
Chaque UO aura un ou plusieurs comptes membres ou une UO imbriquée, par conception.
Étape 3
L'UO de l'application comportera plusieurs UO imbriquées dédiées à la fourniture des applications et à la gestion du cycle de vie et inclura les éléments suivants :- UO de développement
- UO de test
- UO de prod
- UO partagée
En outre, les UO de l'environnement de test peuvent également être provisionnées en tant que charges de travail non sensibles.
-
Compte de gestion de l'organisation
-
Ce schéma d'architecture montre comment une organisation peut regrouper plusieurs comptes, tous contrôlés par une seule entité cliente. Suivez les étapes de ce schéma d'architecture pour déployer le compte de gestion de l'organisation qui fait partie de ce guide.
Cliquer pour agrandir
Étape 1
Une organisation avec plusieurs comptes : l'organisation regroupe plusieurs comptes AWS distincts, qui sont contrôlés par une seule entité cliente. Cela consolide la facturation, regroupe les comptes à l'aide d'UO et facilite le déploiement de contrôles préventifs d'une organisation à l'aide de SCP.Étape 2
Contrôles de sécurité préventifs : ces contrôles, mis en œuvre par les SCP, protègent l'architecture, empêchent la désactivation de la barrière de protection et bloquent les comportements indésirables des utilisateurs. Les SCP fournissent un mécanisme de barrière de protection principalement utilisé pour refuser des catégories spécifiques ou complètes d'opérations d'API au niveau d'un compte AWS, d'une UO ou d'une organisation. Ils peuvent être utilisés pour s'assurer que les charges de travail sont déployées uniquement dans des régions AWS prescrites ou pour refuser l'accès à des services AWS spécifiques.
Étape 3
Automatisation : l'automatisation garantit que les barrières de protection sont appliquées de manière cohérente lorsque l'organisation ajoute de nouveaux comptes AWS à mesure que de nouvelles équipes et de nouvelles charges de travail sont intégrées. Il remédie à la dérive de conformité et fournit des barrières de protection dans le compte de l'organisation racine.
Étape 4
Chiffrement : AWS Key Management Service (AWS KMS) avec des clés gérées par le client chiffre les données stockées au repos à l'aide d'un chiffrement validé FIPS 140-2, que ce soit dans des compartiments Amazon Simple Storage Service (Amazon S3), des volumes Amazon Elastic Block Store (Amazon EBS), des bases de données Amazon Relational Database Service (Amazon RDS) ou d'autres services de stockage AWS. Il protège les données en transit à l'aide du protocole TLS 1.2 ou supérieur.Étape 5
Authentification unique :Une fonctionnalité d'AWS Identity and Access Management (IAM), IAM Identity Center est utilisé pour fournir une attribution centralisée des rôles IAM dans les comptes AWS de l'organisation pour les principaux autorisés. Les identités existantes d'une organisation peuvent provenir de la banque d'identités Active Directory (AD) existante d'un client ou d'un autre fournisseur d'identité (IdP) tiers.AWS facilite l'application de l'authentification multifactorielle à l'aide d'applications d'authentification, de clés de sécurité et d'authentificateurs intégrés, prenant en charge l'authentification et les appareils WebAuthn, FIDO2 et Universal 2nd Factor (U2F).
Étape 1
Une organisation avec plusieurs comptes : l'organisation regroupe plusieurs comptes AWS distincts, qui sont contrôlés par une seule entité cliente. Cela consolide la facturation, regroupe les comptes à l'aide d'UO et facilite le déploiement de contrôles préventifs d'une organisation à l'aide de SCP.Étape 2
Contrôles de sécurité préventifs : ces contrôles, mis en œuvre par les SCP, protègent l'architecture, empêchent la désactivation de la barrière de protection et bloquent les comportements indésirables des utilisateurs. Les SCP fournissent un mécanisme de barrière de protection principalement utilisé pour refuser des catégories spécifiques ou complètes d'opérations d'API au niveau d'un compte AWS, d'une UO ou d'une organisation. Ils peuvent être utilisés pour s'assurer que les charges de travail sont déployées uniquement dans des régions AWS prescrites ou pour refuser l'accès à des services AWS spécifiques.
Étape 3
Automatisation : l'automatisation garantit que les barrières de protection sont appliquées de manière cohérente lorsque l'organisation ajoute de nouveaux comptes AWS à mesure que de nouvelles équipes et de nouvelles charges de travail sont intégrées. Il remédie à la dérive de conformité et fournit des barrières de protection dans le compte de l'organisation racine.
Étape 4
Chiffrement : AWS Key Management Service (AWS KMS) avec des clés gérées par le client chiffre les données stockées au repos à l'aide d'un chiffrement validé FIPS 140-2, que ce soit dans des compartiments Amazon Simple Storage Service (Amazon S3), des volumes Amazon Elastic Block Store (Amazon EBS), des bases de données Amazon Relational Database Service (Amazon RDS) ou d'autres services de stockage AWS. Il protège les données en transit à l'aide du protocole TLS 1.2 ou supérieur.Étape 5
Authentification unique :Une fonctionnalité d'AWS Identity and Access Management (IAM), IAM Identity Center est utilisé pour fournir une attribution centralisée des rôles IAM dans les comptes AWS de l'organisation pour les principaux autorisés. Les identités existantes d'une organisation peuvent provenir de la banque d'identités Active Directory (AD) existante d'un client ou d'un autre fournisseur d'identité (IdP) tiers.AWS facilite l'application de l'authentification multifactorielle à l'aide d'applications d'authentification, de clés de sécurité et d'authentificateurs intégrés, prenant en charge l'authentification et les appareils WebAuthn, FIDO2 et Universal 2nd Factor (U2F).
-
Comptes de sécurité
-
Ce schéma d'architecture montre comment configurer de manière centralisée une collection complète de journaux pour les services et les comptes AWS. Suivez les étapes de ce schéma d'architecture pour déployer la partie Comptes de sécurité de ce guide.
Cliquer pour agrandir
Étape 1
Journalisation centralisée : cette architecture prescrit la collecte complète des journaux et la centralisation des services et des comptes AWS. Les journaux AWS CloudTrail travaillent à l'échelle de l'organisation afin de fournir une auditabilité complète du plan de contrôle dans l'environnement cloud.Amazon CloudWatch Logs, un service de journalisation AWS natif cloud, est utilisé pour capturer une grande variété de journaux, notamment les journaux du système d'exploitation et des applications, les journaux de flux VPC et les journaux du système de noms de domaine, qui sont ensuite centralisés et accessibles uniquement au personnel de sécurité défini.
Étape 2
Surveillance centralisée de la sécurité : les dérives en matière de conformité et les menaces de sécurité apparaissent au sein de l'organisation AWS du client grâce au déploiement automatique d'une multitude de types de contrôles de sécurité détectives. Cela inclut l'activation de la multitude de services de sécurité AWS sur chaque compte de l'organisation.Ces services de sécurité incluent Amazon GuardDuty, AWS Security Hub, AWS Config, AWS Firewall Manager, Amazon Macie, IAM Access Analyzer et les alarmes CloudWatch. Le contrôle et la visibilité doivent être délégués dans l'environnement multicomptes à un seul compte d'outils de sécurité central pour une visibilité facile à l'échelle de l'entreprise sur tous les résultats de sécurité et les dérives de conformité.
Étape 3
Accès en visualisation seulement et possibilité de recherche : le compte de sécurité bénéficie d'un accès en visualisation seulement dans l'ensemble de l'organisation (y compris l'accès à la console CloudWatch de chaque compte) afin de faciliter les enquêtes lors d'un incident.L'accès en visualisation seulement est différent de l'accès en lecture seule dans la mesure où il ne fournit aucun accès aux données. Un module complémentaire optionnel est disponible pour utiliser l'ensemble complet de journaux centralisés afin de les rendre consultables, fournissant des corrélations et des tableaux de bord de base.
Étape 1
Journalisation centralisée : cette architecture prescrit la collecte complète des journaux et la centralisation des services et des comptes AWS. Les journaux AWS CloudTrail travaillent à l'échelle de l'organisation afin de fournir une auditabilité complète du plan de contrôle dans l'environnement cloud.Amazon CloudWatch Logs, un service de journalisation AWS natif cloud, est utilisé pour capturer une grande variété de journaux, notamment les journaux du système d'exploitation et des applications, les journaux de flux VPC et les journaux du système de noms de domaine, qui sont ensuite centralisés et accessibles uniquement au personnel de sécurité défini.
Étape 2
Surveillance centralisée de la sécurité : les dérives en matière de conformité et les menaces de sécurité apparaissent au sein de l'organisation AWS du client grâce au déploiement automatique d'une multitude de types de contrôles de sécurité détectives. Cela inclut l'activation de la multitude de services de sécurité AWS sur chaque compte de l'organisation.Ces services de sécurité incluent Amazon GuardDuty, AWS Security Hub, AWS Config, AWS Firewall Manager, Amazon Macie, IAM Access Analyzer et les alarmes CloudWatch. Le contrôle et la visibilité doivent être délégués dans l'environnement multicomptes à un seul compte d'outils de sécurité central pour une visibilité facile à l'échelle de l'entreprise sur tous les résultats de sécurité et les dérives de conformité.
Étape 3
Accès en visualisation seulement et possibilité de recherche : le compte de sécurité bénéficie d'un accès en visualisation seulement dans l'ensemble de l'organisation (y compris l'accès à la console CloudWatch de chaque compte) afin de faciliter les enquêtes lors d'un incident.
L'accès en visualisation seulement est différent de l'accès en lecture seule dans la mesure où il ne fournit aucun accès aux données. Un module complémentaire optionnel est disponible pour utiliser l'ensemble complet de journaux centralisés afin de les rendre consultables, fournissant des corrélations et des tableaux de bord de base.
-
Comptes d'infrastructure
-
Ce schéma d'architecture montre comment un environnement réseau centralisé et isolé est créé avec des clouds privés virtuels (VPC). Suivez les étapes de ce schéma d'architecture pour déployer la partie Comptes d'infrastructure de ce guide.
Cliquer pour agrandir
Étape 1
Réseau isolé et centralisé : les VPC créés via Amazon Virtual Private Cloud (Amazon VPC) sont utilisés pour créer une isolation des plans de données entre les charges de travail, centralisées dans un compte réseau partagé. La centralisation facilite une forte séparation des tâches et une optimisation des coûts.Étape 2
Connectivité médiatisée : la connectivité aux environnements sur site, la sortie Internet, les ressources partagées et les API AWS sont assurées au niveau d'un point central d'entrée et de sortie grâce à l'utilisation d'AWS Transit Gateway, AWS Site-to-Site VPN, de pare-feu de nouvelle génération et d'AWS Direct Connect (le cas échéant).Étape 3
Autres options : l'architecture VPC centralisée n'est pas adaptée à tous les clients. Pour les clients moins soucieux de l'optimisation des coûts, une option existe pour les VPC basés sur un compte local interconnectés via Transit Gateway dans le compte de réseau partagé central.
Dans les deux options, l'architecture prescrit de déplacer les points de terminaison des API publiques AWS vers l'espace d'adressage VPC privé du client, en utilisant des points de terminaison centralisés pour des raisons de rentabilité.
Étape 4
Inspection centralisée de l'infrastructure en tant que service (IaaS) d'entrée et de sortie : il est courant de constater des exigences d'entrée et de sortie centralisées pour les charges de travail basées sur l'IaaS. L'architecture fournit cette fonctionnalité, afin que les clients puissent décider si les services d'inspection natifs du pare-feu d'entrée et de sortie AWS, tels qu'AWS Network Firewall, AWS WAF, ou Application Load Balancer via Elastic Load Balancing (ELB), répondent à leurs exigences.Dans le cas contraire, les clients peuvent renforcer ces fonctionnalités avec des dispositifs de pare-feu tiers. L'architecture permet de commencer par un pare-feu AWS et de passer à un pare-feu tiers ou d'utiliser une combinaison de technologies de pare-feu d'entrée et de sortie.
Étape 1
Réseau isolé et centralisé : les VPC créés via Amazon Virtual Private Cloud (Amazon VPC) sont utilisés pour créer une isolation des plans de données entre les charges de travail, centralisées dans un compte réseau partagé. La centralisation facilite une forte séparation des tâches et une optimisation des coûts.Étape 2
Connectivité médiatisée : la connectivité aux environnements sur site, la sortie Internet, les ressources partagées et les API AWS sont assurées au niveau d'un point central d'entrée et de sortie grâce à l'utilisation d'AWS Transit Gateway, AWS Site-to-Site VPN, de pare-feu de nouvelle génération et d'AWS Direct Connect (le cas échéant).Étape 3
Autres options : l'architecture VPC centralisée n'est pas adaptée à tous les clients. Pour les clients moins soucieux de l'optimisation des coûts, une option existe pour les VPC basés sur un compte local interconnectés via Transit Gateway dans le compte de réseau partagé central.
Dans les deux options, l'architecture prescrit de déplacer les points de terminaison des API publiques AWS vers l'espace d'adressage VPC privé du client, en utilisant des points de terminaison centralisés pour des raisons de rentabilité.
Étape 4
Inspection centralisée de l'infrastructure en tant que service (IaaS) d'entrée et de sortie : il est courant de constater des exigences d'entrée et de sortie centralisées pour les charges de travail basées sur l'IaaS. L'architecture fournit cette fonctionnalité, afin que les clients puissent décider si les services d'inspection natifs du pare-feu d'entrée et de sortie AWS, tels qu'AWS Network Firewall, AWS WAF, ou Application Load Balancer via Elastic Load Balancing (ELB), répondent à leurs exigences.Dans le cas contraire, les clients peuvent renforcer ces fonctionnalités avec des dispositifs de pare-feu tiers. L'architecture permet de commencer par un pare-feu AWS et de passer à un pare-feu tiers ou d'utiliser une combinaison de technologies de pare-feu d'entrée et de sortie.
-
Comptes d'application, de communauté, d'équipe ou de groupe (sensibles)
-
Ce schéma d'architecture montre comment configurer la segmentation et la séparation entre les charges de travail appartenant à différentes étapes du cycle de vie du développement logiciel, ou entre différents rôles administratifs informatiques. Suivez les étapes de ce schéma d'architecture pour déployer les comptes d'application, de communauté, d'équipe ou de groupe qui font partie de ce guide.
Cliquer pour agrandir
Étape 1
Segmentation et séparation : l'architecture ne se contente pas de fournir une segmentation et une séparation solides entre les charges de travail appartenant aux différentes étapes du cycle de vie du développement logiciel ou entre différents rôles administratifs informatiques (par exemple, entre le réseau, les pare-feu d'entrée et de sortie et les charges de travail).Il propose également une architecture de zonage réseau robuste, microsegmentant l'environnement en encapsulant chaque instance ou composant dans un pare-feu dynamique qui est appliqué au matériel du AWS Nitro System, ainsi que des services tels que ELB et AWS WAF.
Étape 2
Tous les flux réseau sont strictement contrôlés, les mouvements latéraux étant empêchés entre les applications, les niveaux d'une application et les nœuds d'un niveau d'une application, sauf autorisation explicite. En outre, le routage est empêché entre Dev, Test et Prod grâce à des recommandations sur une architecture CI/CD afin de permettre l'agilité des développeurs et de faciliter la promotion du code entre les environnements avec les approbations appropriées.
Étape 1
Segmentation et séparation : l'architecture ne se contente pas de fournir une segmentation et une séparation solides entre les charges de travail appartenant aux différentes étapes du cycle de vie du développement logiciel ou entre différents rôles administratifs informatiques (par exemple, entre le réseau, les pare-feu d'entrée et de sortie et les charges de travail).Il propose également une architecture de zonage réseau robuste, microsegmentant l'environnement en encapsulant chaque instance ou composant dans un pare-feu dynamique qui est appliqué au matériel du AWS Nitro System, ainsi que des services tels que ELB et AWS WAF.
Étape 2
Tous les flux réseau sont strictement contrôlés, les mouvements latéraux étant empêchés entre les applications, les niveaux d'une application et les nœuds d'un niveau d'une application, sauf autorisation explicite. En outre, le routage est empêché entre Dev, Test et Prod grâce à des recommandations sur une architecture CI/CD afin de permettre l'agilité des développeurs et de faciliter la promotion du code entre les environnements avec les approbations appropriées.
Piliers AWS Well-Architected
Le cadre AWS Well-Architected vous permet de comprendre les avantages et les inconvénients des décisions que vous prenez lors de la création de systèmes dans le cloud. Les six piliers du cadre vous permettent d'apprendre les bonnes pratiques architecturales pour concevoir et exploiter des systèmes fiables, sécurisés, efficaces, rentables et durables. Grâce à l'outil AWS Well-Architected Tool, disponible gratuitement dans la console de gestion AWS, vous pouvez examiner vos charges de travail par rapport à ces bonnes pratiques en répondant à une série de questions pour chaque pilier.
Le diagramme d'architecture ci-dessus est un exemple de solution créée en tenant compte des bonnes pratiques Well-Architected. Pour être totalement conforme à Well-Architected, vous devez suivre autant de bonnes pratiques Well-Architected que possible.
-
Excellence opérationnelleLire le livre blanc sur l'excellence opérationnelle
Ce guide s'adresse aux organisations dotées de piles et de configurations AWS CloudFormation afin de créer une base sécurisée pour votre environnement AWS. Il s'agit d'une solution d'infrastructure en tant que code (IaC) qui accélère la mise en œuvre des contrôles de sécurité techniques. Les règles de configuration corrigent tous les deltas de configuration dont il a été déterminé qu'ils avaient un impact négatif sur l'architecture prescrite. Vous pouvez utiliser l'infrastructure commerciale mondiale AWS pour les charges de travail classifiées sensibles et automatiser les systèmes sécurisés afin d'exécuter les missions plus rapidement tout en améliorant continuellement vos processus et procédures.
-
SécuritéLire le livre blanc sur la sécurité
Ce guide utilise les organisations pour faciliter le déploiement de barrières de protection organisationnelles, telles que la journalisation des API avec CloudTrail. Ce guide fournit également des contrôles préventifs utilisant des SCP AWS prescriptifs comme barrière de protection, principalement utilisés pour refuser des catégories spécifiques ou entières d'API au sein de votre environnement (pour vous assurer que les charges de travail ne sont déployées que dans des régions prescrites) ou pour refuser l'accès à des services AWS spécifiques. Les journaux CloudTrail et CloudWatch prennent en charge une collecte complète de journaux et une centralisation prescrites pour les services et les comptes AWS. Les fonctionnalités de sécurité d'AWS et la multitude de services liés à la sécurité sont configurées selon un modèle défini qui vous permet de répondre à certaines des exigences de sécurité les plus strictes au monde.
-
FiabilitéLire le livre blanc sur la fiabilité
Ce guide utilise plusieurs zones de disponibilité (AZ), de sorte que la perte d'une zone de disponibilité n'a aucune incidence sur la disponibilité des applications. Vous pouvez utiliser CloudFormation pour automatiser le dimensionnement et la mise à jour de votre infrastructure de manière sûre et contrôlée. Ce guide fournit également des règles prédéfinies pour évaluer les configurations des ressources AWS et les modifications de configuration au sein de votre environnement, ou vous pouvez créer des règles personnalisées dans AWS Lambda pour définir les meilleures pratiques et directives. Vous pouvez automatiser la capacité de mise à l'échelle de votre environnement pour répondre à la demande et atténuer les perturbations telles que les mauvaises configurations ou les problèmes de réseau transitoires.
-
Efficacité des performancesLire le livre blanc sur l'efficacité des performances
Ce guide simplifie la gestion de l'infrastructure cloud en utilisant la passerelle Transit, qui sert de hub central qui connecte plusieurs VPC via une passerelle unique, ce qui facilite la mise à l'échelle et la maintenance de l'architecture réseau. Cela simplifie l'architecture de votre réseau et facilite l'acheminement efficace du trafic entre les différents comptes AWS de votre organisation.
-
Optimisation des coûtsLire le livre blanc sur l'optimisation des coûts
Ce guide permet d'éviter ou de supprimer des coûts inutiles ou l'utilisation de ressources sous-optimales. Les organisations fournissent une centralisation et une facturation consolidée, ce qui facilite la séparation étroite entre l'utilisation des ressources et l'optimisation des coûts. Ce guide recommande de déplacer les points de terminaison des API publiques AWS vers votre espace d'adressage VPC privé, en utilisant des points de terminaison centralisés pour des raisons de rentabilité. En outre, vous pouvez utiliser les rapports sur les coûts et l'utilisation d'AWS (AWS CUR) pour suivre votre utilisation d'AWS et estimer les frais.
-
Développement durableLire le livre blanc sur le développement durable
Ce guide vous aide à réduire l'empreinte carbone associée à la gestion des charges de travail au sein de vos propres centres de données. L'infrastructure mondiale AWS offre une infrastructure de support (telle que l'alimentation, le refroidissement et la mise en réseau), un taux d'utilisation plus élevé et des mises à jour technologiques plus rapides que les centres de données traditionnels. En outre, la segmentation et la séparation des charges de travail vous aident à réduire les mouvements de données inutiles, et Amazon S3 propose des niveaux de stockage et la possibilité de déplacer automatiquement les données vers des niveaux de stockage efficaces.
Ressources d'implémentation
L'exemple de code est un point de départ. Il s'agit d'un document validé par l'industrie, prescriptif mais non définitif, et d'un aperçu pour vous aider à commencer.
Contenu connexe
Exemple de configuration TSE-SE (avec moteur d'automatisation LZA)
Enclaves sécurisées fiables - Édition sensible
Avis de non-responsabilité
Les exemples de code, les bibliothèques de logiciels, les outils de ligne de commande, les preuves de concept, les modèles ou toute autre technologie connexe (y compris tout ce qui précède qui est fourni par notre personnel) vous sont fournis en tant que contenu AWS en vertu du contrat client AWS ou de l'accord écrit pertinent entre vous et AWS (selon le cas). Vous ne devez pas utiliser ce contenu AWS dans vos comptes de production, ni sur des données de production ou autres données critiques. Vous êtes responsable des tests, de la sécurisation et de l'optimisation du contenu AWS, tel que les exemples de code, comme il convient pour une utilisation en production, en fonction de vos pratiques et normes de contrôle de qualité spécifiques. Le déploiement de contenu AWS peut entraîner des frais AWS pour la création ou l'utilisation de ressources payantes AWS, telles que l'exécution d'instances Amazon EC2 ou l'utilisation du stockage Amazon S3.
Les références à des services ou organisations tiers dans ce guide n'impliquent pas une approbation, un parrainage ou une affiliation entre Amazon ou AWS et le tiers. Les conseils fournis par AWS constituent un point de départ technique, et vous pouvez personnaliser votre intégration avec des services tiers lorsque vous déployez l'architecture.