AWS OpsWorks CM でのデータ保護 - AWS OpsWorks

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS OpsWorks CM でのデータ保護

-AWS 責任共有モデルAWS でのデータ保護に適用されます。OpsWorks設定管理。このモデルで説明されているように、AWSは、AWS クラウドのすべてを実行するグローバルインフラストラクチャを保護する責任を担います。ご利用者はこのインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。このコンテンツには、使用する AWS のサービス のセキュリティ設定と管理タスクが含まれています。データプライバシーの詳細については、データプライバシーのよくある質問を参照してください。欧州でのデータ保護の詳細については、AWSセキュリティブログ に投稿された AWS 責任共有モデルおよび GDPR のブログ記事を参照してください。

データを保護するため、AWS アカウントの認証情報を保護し、AWS Identity and Access Management(IAM)を使用して個々のユーザーアカウントをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要なアクセス許可のみを各ユーザーに付与できます。また、以下の方法でデータを保護することをお勧めします:

  • 各アカウントで多要素認証(MFA)を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 以降が推奨されています。

  • AWS CloudTrail で API とユーザーアクティビティログをセットアップします。

  • AWS暗号化ソリューションをAWSサービス内のすべてのデフォルトのセキュリティ管理と一緒に使用します。

  • Amazon Macieなどのアドバンストマネージドセキュリティサービスを使用します。これは、Amazon S3に保存されている個人データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API を使用して AWS にアクセスするときに FIPS 140-2の検証を受けた暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、[Federal Information Processing Standard (FIPS) 140-2] (連邦情報処理規格 (FIPS) 140-2) を参照してください。

顧客のメールアドレスなどの機密または注意を要する情報は、タグや [Name] (名前) フィールドなど自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK で OpsWorks CM や AWS の他のサービスを使用する場合も同様です。タグまたは名前に使用する自由記入欄に入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないように強くお勧めします。q

OpsWorks CM サーバーの名前は暗号化されません。

OpsWorks CM は、AWS OpsWorks for Chef Automate サーバーおよび AWS OpsWorks for Puppet Enterprise サーバーの作成と保守の過程で、次の顧客データを収集します。

  • を使用する場合OpsWorksPuppet Enterprise では、Puppet マスターと管理ノードとの通信を可能にするために Puppet Enterprise が使用するプライベートキーを収集します。

  • AWS OpsWorks for Chef Automate では、カスタムドメインを使用している場合、サービスにアタッチする証明書のプライベートキーを収集します。カスタムドメインを持つ Chef Automate サーバーを作成するときに指定したプライベートキーは、サーバーに渡されます。

OpsWorks CM サーバーは、Chef クックブックや Puppet Enterprise モジュールなどの設定コードを格納します。このコードはサーバーのバックアップに保存されますが、このコードに AWS からアクセスすることはできません。このコンテンツは暗号化されており、AWS アカウントの管理者だけがアクセスできます。ソースリポジトリ用の推奨プロトコルを使用して Chef または Puppet 設定コードを保護することをお勧めします。例えば、以下のことが可能になります。のリポジトリに対する権限を制限するAWS CodeCommit、またはフォローでのガイドラインGitHubセキュリティ保護のためのウェブサイトGitHubリポジトリ

OpsWorks CM は、サービスを維持したり、カスタマーログを保持したりするために、カスタマー提供のコンテンツを使用することはありません。あなたに関するログOpsWorksCM サーバーはアカウントの Amazon S3 バケットに保存されます。OpsWorks CM サーバーに接続するユーザーの IP アドレスは、AWS によってログに記録されます。

AWS Secrets Manager との統合

での新しいサーバーの作成時に 2021 年 5 月 3 日より開始OpsWorksCM、OpsWorksCM は、サーバのシークレットをに格納します。AWS Secrets Manager。新しいサーバーの場合、次の属性は Secrets Manager にシークレットとして格納されます。

  • Chef Automate

    • HTTPS プライベートキー (カスタムドメインを使用しないサーバーのみ)

    • シェフ管理パスワードを自動化する (CHEF_AUTOMATE_ADMIN_PASSWORD)

  • Puppet Enterpr

    • HTTPS プライベートキー (カスタムドメインを使用しないサーバーのみ)

    • パペット管理パスワード (PUPPET_ADMIN_PASSWORD)

    • パペット r10k リモート (PUPPET_R10K_REMOTE)

カスタムドメインを使用しない既存のサーバーの場合、Chef Automate サーバーと Puppet Enterprise サーバーの両方の Secrets Manager に格納される唯一のシークレットは HTTPS プライベートキーです。これは、毎週の自動システムメンテナンス中に生成されるためです。

OpsWorksCM は Secrets Manager にシークレットを自動的に格納し、この動作はユーザー設定できません。