の暗号化のベストプラクティス AWS Lambda

AWS Lambda は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。環境変数の保護する場合、サーバー側の暗号化を使用して保管中のデータを保護し、クライアント側の暗号化を使用して転送中のデータを保護することができます。

このサービスでは、以下の暗号化のベストプラクティスを検討してください。

• Lambda は、 AWS KMS keyで常にサーバー側の暗号化を提供します。デフォルトでは、Lambda は AWS マネージドキーを使用します。管理、ローテーション、監査などの面でキーを完全に制御できるため、カスタマーマネージドキーを使用することをお勧めします。

• 暗号化が必要な転送中のデータについては、ヘルパーを有効にして、転送中の保護のために環境変数をクライアント側で、任意の KMS キーを使用して暗号化できます。詳細については、「環境変数の保護」の「転送中のセキュリティ」を参照してください。

• 機密データや重要なデータを保持する Lambda 関数の環境変数は、転送中に暗号化する必要があります。これにより、関数に動的に渡されるデータ (通常はアクセス情報) を不正アクセスから保護できます。

• ユーザーが環境変数を表示できないようにするには、デフォルトキー、カスタマーマネージドキー、またはすべてのキーへのアクセスを拒否するステートメントを IAM ポリシーのユーザーのアクセス権限かキーポリシーに追加します。詳細については、AWS Lambda 環境変数の使用を参照してください。