翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でのデータ保護 AWS Audit Manager
責任 AWS 共有モデル
データ保護の目的で、 認証情報を保護し AWS アカウント 、 AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
-
各アカウントで多要素認証 (MFA) を使用します。
-
SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須であり TLS 1.3 がお勧めです。
-
で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。
-
AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
-
Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
-
コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2
」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報は、タグ、または名前フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Audit Manager AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs 名前に使用する自由記述のテキストフィールドやタグに入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないように強くお勧めします。
上記の推奨事項に加えて、Audit Manager のお客様には、評価、カスタムコントロール、カスタムフレームワーク、および委任コメントを作成する際に、自由形式のフィールドに機密性の高い識別情報を含めないことを特に推奨します。
Audit Manager のデータの削除
Audit Manager のデータを削除するにはいくつか方法があります。
Audit Manager を無効にする場合のデータ削除
Audit Manager を無効にする場合、Audit Manager のデータをすべて削除するかどうかを決定できます。データを削除することを選択した場合、Audit Manager を無効にしてから 7 日以内に削除されます。データを削除すると、復元することはできません。
データの自動削除
Audit Manager のデータの一部は、特定の期間が経過すると自動的に削除されます。Audit Manager は、以下のように顧客データを保持します。
データ型 | データ保持期間 | メモ |
---|---|---|
証拠 |
データは作成時から 2 年間保存されます |
自動証拠と手動証拠が含まれます |
顧客が作成したリソース |
データは無期限に保持されます |
評価、評価レポート、カスタムコントロール、カスタムフレームワークが含まれます |
手動データ削除
個々のAudit Manager リソースはいつでも削除できます。手順については、以下を参照してください。
-
-
AWS Audit Manager API リファレンスDeleteAssessmentの も参照してください。
-
-
でのカスタムフレームワークの削除 AWS Audit Manager
-
AWS Audit Manager API リファレンスDeleteAssessmentFrameworkの も参照してください。
-
-
での共有リクエストの削除 AWS Audit Manager
-
AWS Audit Manager API リファレンスDeleteAssessmentFrameworkShareの も参照してください。
-
-
-
AWS Audit Manager API リファレンスDeleteAssessmentReportの も参照してください。
-
-
でのカスタムコントロールの削除 AWS Audit Manager
-
AWS Audit Manager API リファレンスDeleteControlの も参照してください。
-
Audit Manager の使用時に作成した他のリソースデータを削除するには、以下を参照してください
-
AWS CloudTrail ユーザーガイドの「イベントデータストアを削除する」
-
Amazon Simple Storage Service (Amazon S3)ユーザーガイドのバケットキーを削除する
保管中の暗号化
Audit Manager は、保管中のデータを暗号化するために、すべてのデータストアとログ AWS マネージドキー に対して によるサーバー側の暗号化を使用します。
データは、選択した設定に応じて AWS 所有のキー、カスタマーマネージドキーまたは で暗号化されます。カスタマーマネージドキーを指定しない場合、Audit Manager は AWS 所有のキー を使用してコンテンツを暗号化します。Audit Manager の DynamoDB と Amazon S3 のすべてのサービスメタデータは、 AWS 所有のキーを使用して暗号化されます。
Audit Manager は次のようにデータを暗号化します。
-
Amazon S3 に保存されているサービスメタデータは、SSE-KMS AWS 所有のキー を使用して で暗号化されます。
-
DynamoDB に保存されているサービスメタデータは、KMS と AWS 所有のキーを使用してサーバー側で暗号化されています。
-
DynamoDB に保存されているコンテンツは、カスタマーマネージドキーまたは AWS 所有のキーを使用してクライアント側で暗号化されます。KMS キーは、選択した設定に基づきます。
-
Audit Manager の Amazon S3 に保存されているコンテンツは、SSE-KMS を使用して暗号化されます。KMS キーは選択に基づいており、カスタマーマネージドキーまたは AWS 所有のキーのいずれかです。
-
S3 バケットに発行された評価レポートは、次のように暗号化されます。
-
カスタマーマネージドキーを提供した場合、データは SSE-KMS を使用して暗号化されます。
-
を使用した場合 AWS 所有のキー、データは SSE-S3 を使用して暗号化されます。
-
転送中の暗号化
Audit Manager は、転送中のデータを暗号化するための安全なプライベートエンドポイントを提供します。セキュアエンドポイントとプライベートエンドポイントにより AWS 、 は Audit Manager への API リクエストの整合性を保護できます。
サービス間トランジット
デフォルトでは、すべてのサービス間通信は、Transport Layer Security (TLS) 暗号化を使用して保護されます。
キー管理
Audit Manager は AWS 所有のキー 、すべての Audit Manager リソース (アカウント内の S3 バケットに保存された評価、コントロール、フレームワーク、証拠、および評価レポート) を暗号化するための とカスタマーマネージドキーの両方をサポートします。
カスタマーマネージドキーを使用することをお勧めします。これにより、 AWS CloudTrailでの使用のログの表示など、データを保護する暗号化キーを表示および管理できます。カスタマーマネージドキーを選択する際に、Audit Manager は、コンテンツの暗号化に使用できるように、KMS キーの付与を作成します。
警告
Audit Manager リソースの暗号化に使用される KMS キーを削除または無効にすると、その KMS キーで暗号化されたリソースを復号できなくなります。つまり、データを回復できなくなります。
AWS Key Management Service (AWS KMS) で KMS キーを削除すると、破壊的になり、潜在的に危険です。KMS キーの削除の詳細については、AWS Key Management Service ユーザーガイドの「AWS KMS keysの削除」を参照してください。
、Audit Manager API AWS Management Console、または AWS Command Line Interface () を使用して Audit Manager を有効にするときに、暗号化設定を指定できますAWS CLI。手順については、「の有効化 AWS Audit Manager」を参照してください。
暗号化設定はいつでも確認および変更できます。手順については、「データ暗号化設定の構成」を参照してください。
カスタマーマネージドキーの設定方法の詳細については、AWS Key Management Service ユーザーガイドの「キーの作成」を参照してください。