Amazon DynamoDB の暗号化のベストプラクティス - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon DynamoDB の暗号化のベストプラクティス

Amazon DynamoDB は、フルマネージド NoSQL データベースサービスです。高速かつ予測可能でスケーラブルなパフォーマンスを提供します。DynamoDB の保管時の暗号化では、データを堅牢なメディアに保存する際に、プライマリキー、ローカルおよびグローバルのセカンダリインデックス、ストリーム、グローバルテーブル、バックアップ、DynamoDB Accelerator (DAX) クラスターなどを暗号化テーブルで保護します。

データ分類の要件に従い、サーバー側またはクライアント側の暗号化を実装することで、データの機密性と整合性を維持できます。

サーバー側の暗号化では、新しいテーブルの作成時に AWS KMS keys を使用してテーブルを暗号化できます。 AWS 所有キー、 AWS マネージドキー、またはカスタマーマネージドキーを使用できます。キーにはカスタマーマネージドキーを使用することをお勧めします。これは、組織でキーを完全に制御できるためです。また、このキータイプを使用すると、テーブルレベルの暗号化キー、DynamoDB テーブル、ローカルおよびグローバルのセカンダリインデックス、ストリームがすべて同じキーで暗号化されます。これらのキータイプの詳細については、「カスタマーキーと AWS キー」を参照してください。

注記

AWS 所有キー、 AWS マネージドキー、カスタマーマネージドキーはいつでも切り替えることができます。

データのクライアント側の暗号化とエンドツーエンドの保護には、保存中と転送中の両方で Amazon DynamoDB Encryption Client を使用できます。DynamoDB Encryption Client は、項目の属性値の機密性を保護する暗号化に加えて、項目に署名します。こうすることで、属性の追加や削除、暗号化された値の別の値への置換など、項目全体への不正な変更を検出し、整合性の保護を提供します。

このサービスでは、以下の暗号化のベストプラクティスを検討してください。

  • キーの無効化や削除のスケジュール設定の権限を、これらのタスクを実行する必要のあるユーザーのみに制限してください。キーの状態を無効に設定するか、削除のスケジュールを設定すると、すべてのユーザーと DynamoDB サービスは、データの暗号化と復号化、およびテーブルに対する読み取り/書き込み操作を実行できなくなります。

  • DynamoDB はデフォルトで HTTPS を使用して転送中のデータを暗号化しますが、追加のセキュリティ制御が推奨されます。以下のいずれかのオプションを使用できます。

    • AWS Site-to-Site VPN 暗号化に IPsec を使用する 接続。

    • AWS Direct Connect プライベート接続を確立するための 接続。

    • AWS Direct Connect IPsec で暗号化されたプライベート AWS Site-to-Site VPN 接続の接続との接続。

    • 仮想プライベートクラウド (VPC) 内からのみ DynamoDB にアクセスする必要がある場合は、VPC ゲートウェイエンドポイントを使用して、アクセスを VPC 内リソースのみに許可することができます。これにより、トラフィックがパブリックインターネットを経由することを防ぎます。

  • VPC エンドポイントを使用している場合は、エンドポイントに関連付けられているエンドポイントポリシーと IAM ポリシーを、承認されたユーザー、リソース、サービスのみに限定してください。詳細については、「IAM ポリシーを使用して DynamoDB エンドポイントへのアクセスを制御する」と「エンドポイントポリシーを使用してサービスへのアクセスを制御する」を参照してください。

  • 暗号化ポリシーに従って、暗号化が必要なデータに対し、列レベルのデータ暗号化をアプリケーションレベルで実装できます。

  • クラスターの設定時に、キャッシュ内のデータ、構成データ、ログファイルなどの保管中のデータを暗号化するように DAX クラスターを構成します。既存のクラスターでは保存時の暗号化を有効にすることはできません。このサーバー側の暗号化は、基盤となるストレージを経由する不正アクセスからデータを保護するのに役立ちます。保管時の DAX 暗号化は AWS KMS と自動的に統合され、クラスターの暗号化に使用される単一サービスのデフォルトキーを管理します。暗号化された DAX クラスターの作成時にサービスのデフォルトキーが存在しない場合、 AWS KMS は自動的に新しい AWS マネージドキーを作成します。詳細については、「保管時の DAX 暗号化」を参照してください。

    注記

    カスタマーマネージドキーは DAX クラスターでは使用できません。

  • クラスターのセットアップ時に転送中のデータを暗号化するように DAX クラスターを設定します。既存のクラスターでは転送中の暗号化を有効にすることはできません。DAX は TLS を使用してアプリケーションとクラスター間のリクエストおよびレスポンスを暗号化し、クラスターの x509 証明書を使用してクラスターの ID を認証します。詳細については、「転送中の DAX 暗号化」を参照してください。

  • で AWS Config、dax-encryption-enabled AWS マネージドルールを実装して、DAX クラスターの暗号化を検証して維持します。