Amazon Macie でのデータ保護 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie でのデータ保護

AWS 責任共有モデル は、Amazon Macie のデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護する責任を負います。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。このコンテンツには、使用される AWS のサービス のセキュリティ設定と管理タスクが含まれます。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された「AWS 責任共有モデルおよび GDPR」のブログ記事を参照してください。

データを保護するため、AWS アカウント の認証情報を保護し、AWS Identity and Access Management (IAM) を使用して個々のユーザーアカウントをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 以降が推奨されています。

  • AWS CloudTrail で API とユーザーアクティビティログをセットアップします。

  • AWS 暗号化ソリューションを AWS のサービス内のすべてのデフォルトのセキュリティ管理と一緒に使用します。

  • Amazon Macie などのアドバンストマネージドセキュリティサービスを使用します。これは、Amazon S3 に保存されている個人データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API を使用して AWS にアクセスするときに FIPS 140−2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。使用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140−2」を参照してください。

顧客の E メールアドレスなどの機密情報やセンシティブ情報は、タグや [Name] (名前) フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS で Macie または他の AWS サービスを使用する場合も同様です。タグまたは名前に使用する自由記入欄に入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないことを強くお勧めします。

保管中の暗号化

Amazon Macie は、AWS 暗号化ソリューションを使用して、保管中のデータを安全に保存します。Macie は、AWS Key Management Service からの AWS マネージドキー を使用して (AWS KMS)、結果などのデータを暗号化します。

Macie を無効にすると、機密データ検出ジョブ、カスタムデータ識別子、結果など、お客様のために保存または維持されるすべてのリソースが完全に削除されます。

転送中の暗号化

Macie は AWS のサービス 間の転送中のすべてのデータを暗号化します。

Amazon Macie は Amazon S3 からのデータを分析し、機密データの検出結果を S3 バケットにエクスポートします。Macie が S3 オブジェクトから必要な情報を取得すると、それらは破棄されます。

Macie は、AWS PrivateLink によって駆動する VPC エンドポイントを使用して Amazon S3 にアクセスします。したがって、Macie と Amazon S3 の間のトラフィックは Amazon ネットワーク上に留まり、パブリックインターネットを経由しません。詳細については、「AWS PrivateLink」を参照してください。