AWS Lambda でのデータ保護 - AWS Lambda

AWS Lambda でのデータ保護

AWS責任共有モデルは、AWS Lambda でのデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護するがあります。このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任はユーザーにあります。また、使用する AWS のサービスのセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、「AWS セキュリティブログ」に投稿された「AWS 責任共有モデルおよび GDPR」のブログ記事を参照してください。

データを保護するため、AWS アカウント認証情報を保護し、AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。こうすると、それぞれのジョブを遂行するために必要なアクセス許可のみを各ユーザーに付与できます。また、以下の方法でデータを保護することをお勧めします。

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 が必須です。TLS 1.3 が推奨されます。

  • AWS CloudTrail で API とユーザーアクティビティロギングをセットアップします。

  • AWS のサービス内でデフォルトである、すべてのセキュリティ管理に加え、AWS 暗号化ソリューションを使用します。

  • Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API により AWS にアクセスするときに FIPS 140−2 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2」を参照してください。

お客様の E メールアドレスなどの機密情報やセンシティブ情報は、タグや名前フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これには、コンソール、API、AWS CLI、または AWS SDK を使用して Lambda またはその他の AWS のサービスを使用する状況が含まれます。名前に使用する自由記述のテキストフィールドやタグに入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないように強くお勧めします。

転送時の暗号化

Lambda API エンドポイントでは、HTTPS 経由の安全な接続のみがサポートされます。Lambda リソースを AWS Management Console、AWS SDK、または Lambda API を使用して管理する場合、すべての通信は Transport Layer Security (TLS) で暗号化されます。API エンドポイントの完全なリストについては、AWS 全般のリファレンス の「AWSリージョンとエンドポイント」を参照してください。

関数をファイルシステムに接続すると、Lambda では、すべての接続で転送時の暗号化が使用されます。詳細については、Amazon Elastic File System ユーザーガイド の「Amazon EFS でのデータの暗号化」を参照してください。

環境変数を使用する場合、コンソール暗号化ヘルパーを有効にして、クライアント側の暗号化で転送中の環境変数を保護できます。詳細については、「Lambda 環境変数の保護」を参照してください。

保管中の暗号化

Lambda は、保存時に環境変数を常に暗号化します。デフォルトでは、環境変数は、Lambda がアカウントに作成する AWS KMS key を使用して暗号化されます。この AWS マネージドキー は、aws/lambda という名前です。

関数ごとに Lambda を設定して、デフォルトの AWS マネージドキー ではなく、カスタマー管理のキーを使用して環境変数を暗号化することもできます。詳細については、「Lambda 環境変数の保護」を参照してください。

Lambda は、デプロイパッケージレイヤーアーカイブを含め、Lambda にアップロードされるファイルを常に暗号化します。

Amazon CloudWatch Logs と AWS X-Ray は、デフォルトでデータを暗号化し、カスタマーマネージドキーを使用するように設定できます。詳細については、CloudWatch Logs でのログデータの暗号化およびAWS X-Ray でのデータ保護を参照してください。