でのデータ保護 AWS Audit Manager - AWS Audit Manager
Audit Manager のデータの削除保管中の暗号化転送中の暗号化キー管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのデータ保護 AWS Audit Manager

責任 AWS 共有モデル、 でのデータ保護に適用されます AWS Audit Manager。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。また、使用する AWS のサービス のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーのよくある質問を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿されたAWS 責任共有モデルおよび GDPRのブログ記事を参照してください。

データ保護の目的で、 認証情報を保護し AWS アカウント 、 AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須であり TLS 1.3 がお勧めです。

  • で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。

  • AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。

  • Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報は、タグ、または名前フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Audit Manager AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs 名前に使用する自由記述のテキストフィールドやタグに入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないように強くお勧めします。

上記の推奨事項に加えて、Audit Manager のお客様には、評価、カスタムコントロール、カスタムフレームワーク、および委任コメントを作成する際に、自由形式のフィールドに機密性の高い識別情報を含めないことを特に推奨します。

Audit Manager のデータの削除

Audit Manager のデータを削除するにはいくつか方法があります。

Audit Manager を無効にする場合のデータ削除

Audit Manager を無効にする場合、Audit Manager のデータをすべて削除するかどうかを決定できます。データを削除することを選択した場合、Audit Manager を無効にしてから 7 日以内に削除されます。データを削除すると、復元することはできません。

データの自動削除

Audit Manager のデータの一部は、特定の期間が経過すると自動的に削除されます。Audit Manager は、以下のように顧客データを保持します。

データ型 データ保持期間 メモ

証拠

データは作成時から 2 年間保存されます

 自動証拠と手動証拠が含まれます

顧客が作成したリソース

データは無期限に保持されます

 評価、評価レポート、カスタムコントロール、カスタムフレームワークが含まれます
手動データ削除

個々のAudit Manager リソースはいつでも削除できます。手順については、以下を参照してください。

Audit Manager の使用時に作成した他のリソースデータを削除するには、以下を参照してください

保管中の暗号化

Audit Manager は、保管中のデータを暗号化するために、すべてのデータストアとログ AWS マネージドキー に対して によるサーバー側の暗号化を使用します。

データは、選択した設定に応じて AWS 所有のキー、カスタマーマネージドキーまたは で暗号化されます。カスタマーマネージドキーを指定しない場合、Audit Manager は AWS 所有のキー を使用してコンテンツを暗号化します。Audit Manager の DynamoDB と Amazon S3 のすべてのサービスメタデータは、 AWS 所有のキーを使用して暗号化されます。

Audit Manager は次のようにデータを暗号化します。

  • Amazon S3 に保存されているサービスメタデータは、SSE-KMS AWS 所有のキー を使用して で暗号化されます。

  • DynamoDB に保存されているサービスメタデータは、KMS と AWS 所有のキーを使用してサーバー側で暗号化されています。

  • DynamoDB に保存されているコンテンツは、カスタマーマネージドキーまたは AWS 所有のキーを使用してクライアント側で暗号化されます。KMS キーは、選択した設定に基づきます。

  • Audit Manager の Amazon S3 に保存されているコンテンツは、SSE-KMS を使用して暗号化されます。KMS キーは選択に基づいており、カスタマーマネージドキーまたは AWS 所有のキーのいずれかです。

  • S3 バケットに発行された評価レポートは、次のように暗号化されます。

    • カスタマーマネージドキーを提供した場合、データは SSE-KMS を使用して暗号化されます。

    • を使用した場合 AWS 所有のキー、データは SSE-S3 を使用して暗号化されます。

転送中の暗号化

Audit Manager は、転送中のデータを暗号化するための安全なプライベートエンドポイントを提供します。セキュアエンドポイントとプライベートエンドポイントにより AWS 、 は Audit Manager への API リクエストの整合性を保護できます。

サービス間トランジット

デフォルトでは、すべてのサービス間通信は、Transport Layer Security (TLS) 暗号化を使用して保護されます。

キー管理

Audit Manager は AWS 所有のキー 、すべての Audit Manager リソース (アカウント内の S3 バケットに保存された評価、コントロール、フレームワーク、証拠、および評価レポート) を暗号化するための とカスタマーマネージドキーの両方をサポートします。

カスタマーマネージドキーを使用することをお勧めします。これにより、 AWS CloudTrailでの使用のログの表示など、データを保護する暗号化キーを表示および管理できます。カスタマーマネージドキーを選択する際に、Audit Manager は、コンテンツの暗号化に使用できるように、KMS キーの付与を作成します。

警告

Audit Manager リソースの暗号化に使用される KMS キーを削除または無効にすると、その KMS キーで暗号化されたリソースを復号できなくなります。つまり、データを回復できなくなります。

AWS Key Management Service (AWS KMS) で KMS キーを削除すると、破壊的になり、潜在的に危険です。KMS キーの削除の詳細については、AWS Key Management Service ユーザーガイドの「AWS KMS keysの削除」を参照してください。

、Audit Manager API AWS Management Console、または AWS Command Line Interface () を使用して Audit Manager を有効にするときに、暗号化設定を指定できますAWS CLI。手順については、「の有効化 AWS Audit Manager」を参照してください。

暗号化設定はいつでも確認および変更できます。手順については、「データ暗号化設定の構成」を参照してください。

カスタマーマネージドキーの設定方法の詳細については、AWS Key Management Service ユーザーガイドの「キーの作成」を参照してください。