AWS Lambda でのデータ保護
AWS責任共有モデル
データを保護するため、AWS アカウント 認証情報を保護し、AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
-
各アカウントで多要素認証 (MFA) を使用します。
-
SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須であり TLS 1.3 がお勧めです。
-
AWS CloudTrail で API とユーザーアクティビティロギングをセットアップします。
-
AWS サービス 内のすべてのデフォルトセキュリティ管理に加え、AWS 暗号化ソリューションを使用します。
-
Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
-
コマンドラインインターフェイスまたは API を使用して AWS にアクセスするときに FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。使用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3
」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報は、タグ、または名前フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これには、コンソール、API、AWS CLI、または AWS SDK を使用して Lambda またはその他の AWS サービスを使用する状況が含まれます。名前に使用する自由記述のテキストフィールドやタグに入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないように強くお勧めします。
転送時の暗号化
Lambda API エンドポイントでは、HTTPS 経由の安全な接続のみがサポートされます。Lambda リソースを AWS Management Console、AWS SDK、または Lambda API を使用して管理する場合、すべての通信は Transport Layer Security (TLS) で暗号化されます。API エンドポイントの完全なリストについては、AWS 全般のリファレンス の「AWSリージョンとエンドポイント」を参照してください。
関数をファイルシステムに接続すると、Lambda では、すべての接続で転送時の暗号化が使用されます。詳細については、Amazon Elastic File System ユーザーガイド の「Amazon EFS でのデータの暗号化」を参照してください。
環境変数を使用する場合、コンソール暗号化ヘルパーを有効にして、クライアント側の暗号化で転送中の環境変数を保護できます。詳細については、「Lambda 環境変数の保護」を参照してください。
保管中の暗号化
Lambda は、保存時に環境変数を常に暗号化します。デフォルトでは、環境変数は、Lambda がアカウントに作成する AWS KMS key を使用して暗号化されます。この AWS マネージドキー は、aws/lambda という名前です。
関数ごとに Lambda を設定して、デフォルトの AWS マネージドキー ではなく、カスタマー管理のキーを使用して環境変数を暗号化することもできます。詳細については、「Lambda 環境変数の保護」を参照してください。
Lambda は、デプロイパッケージやレイヤーアーカイブを含め、Lambda にアップロードされるファイルを常に暗号化します。
Amazon CloudWatch Logs と AWS X-Ray は、デフォルトでデータを暗号化し、カスタマーマネージドキーを使用するように設定できます。詳細については、CloudWatch Logs でのログデータの暗号化およびAWS X-Ray でのデータ保護を参照してください。
