Amazon Keyspaces におけるインターネットワークトラフィックプライバシー - Amazon Keyspaces (Apache Cassandra 向け)
サービスとオンプレミスのクライアントおよびアプリケーションとの間のトラフィック同じリージョン内の AWS リソース間のトラフィック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Keyspaces におけるインターネットワークトラフィックプライバシー

このトピックでは、オンプレミスアプリケーションから Amazon Keyspaces (Apache Cassandra 向け) への接続、および Amazon Keyspaces とその他の AWS リソース (同一 AWS リージョン 内) 間の接続に対する、Amazon Keyspaces による保安方法について説明します。

サービスとオンプレミスのクライアントおよびアプリケーションとの間のトラフィック

プライベートネットワークと AWS との間には 2 つの接続オプションがあります:

マネージドサービスである Amazon Keyspaces (for Apache Cassandra) は AWS グローバルネットワークセキュリティで保護されています。AWSセキュリティサービスと AWS がインフラストラクチャを保護する方法については、「AWS クラウドセキュリティ」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには、「セキュリティの柱 - AWS Well-Architected Framework」の「インフラストラクチャ保護」を参照してください。

AWS が公開している API コールを使用し、ネットワーク経由で Amazon Keyspaces にアクセスします。クライアントは以下をサポートする必要があります。

  • Transport Layer Security (TLS) TLS 1.2 および TLS 1.3 をお勧めします。

  • DHE (Ephemeral Diffie-Hellman) や ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートです。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

また、リクエストは、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時セキュリティ認証情報を生成し、リクエストに署名することもできます。

Amazon Keyspaces では、2 つのクライアントリクエスト認証方法がサポートされています。1 つ目の方法では、サービス固有の認証情報を使用します。これは、特定の IAM ユーザーに対して生成されたパスワードベースの認証情報です。パスワードの作成と管理に IAM コンソール、AWS CLI、または AWS API を使用できます。詳細については、「Using IAM with Amazon Keyspaces (Amazon Keyspaces での IAM の使用)」 を参照してください。

2 つ目の方法は、Cassandra 用のオープンソース DataStax Java ドライバーに対して認証プラグインを使用します。このプラグインでは、IAM ユーザー、ロール、およびフェデレーテッドアイデンティティにより、AWS 署名バージョン 4 署名プロセス (SigV4) を使用して、Amazon Keyspaces (Apache Cassandra 向け) API リクエストに認証情報を追加することができます。詳細については、「Amazon Keyspaces の AWS 認証情報を作成して設定する方法」を参照してください。

同じリージョン内の AWS リソース間のトラフィック

インターフェイス VPC エンドポイントは、Amazon VPC で実行されている仮想プライベートクラウド (VPC) と Amazon Keyspaces 間のプライベート通信を可能にします。インターフェイス VPC エンドポイントには、AWS PrivateLink が搭載されています。これは、VPC と AWS サービス 間のプライベート通信を可能にする AWS サービスです。AWS PrivateLink では、VPC 内にプライベート IP がある Elastic Network Interface を使用して、ネットワークトラフィックが Amazon ネットワークから離れないようにします。インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を必要としません。詳細については、「Amazon Virtual Private CloudAmazon (仮想プライベートクラウド)」と「Interface VPC endpoints (AWS PrivateLink) (インターフェイス VPC エンドポイント ())」を参照してください。エンドポイントポリシーの例については、「Amazon Keyspaces 用インターフェイス VPC エンドポイントの使用」を参照してください。