Amazon Keyspaces のインフラストラクチャセキュリティ

マネージドサービスである Amazon Keyspaces (Apache Cassandra 向け) は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、AWS 「 クラウドセキュリティ」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには、「Security Pillar AWS Well‐Architected Framework」の「Infrastructure Protection」を参照してください。

AWS 公開された API コールを使用して、ネットワーク経由で Amazon Keyspaces にアクセスします。クライアントは以下をサポートする必要があります。

• Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。

• DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードはJava 7 以降など、ほとんどの最新システムでサポートされています。

また、リクエストにはアクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。またはAWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

Amazon Keyspaces では、2 つのクライアントリクエスト認証方法がサポートされています。1 つ目の方法では、サービス固有の認証情報を使用します。これは、特定の IAM ユーザーに対して生成されたパスワードベースの認証情報です。IAM コンソール、、または AWS API を使用して AWS CLI、パスワードを作成および管理できます。詳細については、「Using IAM with Amazon Keyspaces (Amazon Keyspaces での IAM の使用)」 を参照してください。

2 つ目の方法は、Cassandra 用のオープンソース DataStax Java ドライバーに対して認証プラグインを使用します。このプラグインでは、IAM ユーザー、ロール、およびフェデレーテッドアイデンティティにより、AWS 署名バージョン 4 署名プロセス (SigV4) を使用して、Amazon Keyspaces (Apache Cassandra 向け) API リクエストに認証情報を追加することができます。詳細については、「Amazon Keyspaces の AWS 認証情報の作成と設定」を参照してください。

これらの API オペレーションは任意のネットワークの場所から呼び出すことができますが、Amazon Keyspaces はリソースベースのアクセスポリシーをサポートしており、ソース IP アドレスに基づく制限を含めることができます。Amazon Keyspaces ポリシーを使用して、特定の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントまたは特定の VPCs からのアクセスを制御することもできます。これにより、実質的にネットワーク内の特定の VPC からのみ、特定の Amazon Keyspaces リソースへの AWS ネットワークアクセスが分離されます。

インターフェイス VPC エンドポイントを使用して、Amazon VPC と Amazon Keyspaces 間のトラフィックが Amazon ネットワークから離れないようにすることができます。インターフェイス VPC エンドポイントは AWS PrivateLink、Amazon VPC AWS 内のプライベート IPs を持つ Elastic Network Interface を使用して AWS サービス間のプライベート通信を可能にするテクノロジーを利用しています。詳細については、「インターフェイス VPC エンドポイントと Amazon Keyspaces の使用」を参照してください。