AWS Panorama でのデータ保護 - AWS Panorama
転送中の暗号化AWS Panorama アプライアンスアプリケーションその他のサービス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Panorama でのデータ保護

AWS 責任共有モデルは、AWS Panorama のデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護するがあります。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。また、使用する AWS のサービスのセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、「AWS セキュリティブログ」に投稿された「AWS 責任共有モデルおよび GDPR」のブログ記事を参照してください。

データを保護するため、AWS アカウント の認証情報を保護し、AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみを各ユーザーに付与できます。また、次の方法でデータを保護することをおすすめします。

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 が必須です。TLS 1.3 が推奨されます。

  • AWS CloudTrail で API とユーザーアクティビティロギングをセットアップします。

  • AWS のサービス内でデフォルトである、すべてのセキュリティ管理に加え、AWS の暗号化ソリューションを使用します。

  • Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API により AWS にアクセスするときに FIPS 140−2 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2」を参照してください。

お客様の E メールアドレスなどの機密情報やセンシティブ情報は、タグや [名前] フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これには、コンソール、API、AWS CLI、または AWS SDK を使用して、AWS Panorama または他の AWS のサービス で作業する場合も含まれます。名前に使用する自由記述のテキストフィールドやタグに入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないように強くお勧めします。

転送中の暗号化

AWS Panorama API エンドポイントでは、HTTPS 経由の安全な接続のみがサポートされます。AWS Panorama リソースを AWS Management Console、AWS SDK、または AWS Panorama API を使用して管理する場合、すべての通信は Transport Layer Security (TLS) で暗号化されます。AWS Panorama アプライアンスと AWS 間の通信も TLS で暗号化されます。RTSP 上の AWS Panorama アプライアンスとカメラ間の通信は暗号化されません。

API エンドポイントの詳細なリストについては、AWS 全般のリファレンス の「 のリージョンとエンドポイント」を参照してください。

AWS Panorama アプライアンス

AWS Panorama アプライアンスには、イーサネット、HDMI ビデオ、USB ストレージ用の物理ポートがあります。SD カードスロット、Wi-Fi、ブルートゥースは使用できません。USB ポートは、プロビジョニング中に構成アーカイブをアプライアンスに転送するためにのみ使用されます。

アプライアンスのプロビジョニング証明書とネットワーク構成を含む構成アーカイブの内容は暗号化されません。AWS Panorama はこれらのファイルを保存しません。アプライアンスを登録したときにのみ取得できます。構成アーカイブをアプライアンスに転送したら、コンピュータと USB ストレージデバイスから削除します。

アプライアンスのファイルシステム全体が暗号化されます。さらに、アプライアンスは必要なソフトウェアアップデートのロールバック保護、署名付きカーネルとブートローダー、ソフトウェア整合性検証など、システムレベルの保護をいくつか適用します。

アプライアンスの使用を停止したら、フルリセットを実行してアプリケーションデータを削除し、アプライアンスソフトウェアをリセットします。

アプリケーション

アプライアンスにデプロイするコードを制御できます。ソースに関係なく、デプロイする前にすべてのアプリケーションコードにセキュリティ上の問題がないか検証してください。アプリケーションでサードパーティのライブラリを使用する場合は、そのライブラリのライセンスポリシーとサポートポリシーを慎重に検討してください。

アプリケーションの CPU、メモリ、およびディスク使用量は、アプライアンスソフトウェアによる制約を受けません。アプリケーションがリソースを大量に使用すると、他のアプリケーションやデバイスの動作に悪影響を及ぼす可能性があります。アプリケーションは、組み合わせたり、実稼働環境にデプロイしたりする前に個別にテストしてください。

アプリケーション資産 (コードとモデル) は、アカウント、アプライアンス、またはビルド環境内のアクセスから切り離されているわけではありません。AWS Panorama アプリケーション CLI によって生成されたコンテナイメージとモデルアーカイブは暗号化されません。本番環境のワークロードには別のアカウントを使用し、アクセスは必要な場合にのみ許可してください。

その他のサービス

モデルとアプリケーションコンテナを Amazon S3 に安全に保存するために、AWS Panorama は Amazon S3 が管理するキーによるサーバー側の暗号化を使用しています。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「暗号化を使用したデータの保護」を参照してください。

カメラストリームの認証情報は保存時に AWS Secrets Manager で暗号化されます。アプライアンスの IAM ロールは、ストリームのユーザー名とパスワードにアクセスするためのシークレットを取得する権限を付与します。

AWS Panorama アプライアンスは、ログデータを Amazon CloudWatch Logs. CloudWatch Logs に送信し、デフォルトでこのデータを暗号化し、カスタマーマネージドキーを使用するように設定できます。詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「 を使用してログのログデータを暗号化AWS KMSする」を参照してください。 CloudWatch