セキュリティの柱 - AWS 規範ガイダンス
データセキュリティの実装ネットワークを保護する認証と認可を実装する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティの柱

クラウドセキュリティが最優先事項です AWS。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。セキュリティは、 AWSとお客様の間で共有される責任です。責任共有モデルでは、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。

  • クラウドのセキュリティ – AWS は、 AWS のサービス で実行されるインフラストラクチャを保護する責任を担います AWS クラウド。 AWS また、 は、安全に使用できるサービスも提供します。サードパーティーの監査者は、AWS コンプライアンスプログラムの一環として、 AWS セキュリティの有効性を定期的にテストおよび検証します。Neptune に適用されるコンプライアンスプログラムの詳細については、AWS 「コンプライアンスプログラムによる対象範囲内のサービス」を参照してください。

  • クラウドのセキュリティ – お客様の責任は、使用する によって決まり AWS のサービス ます。また、お客様は、お客様のデータの機密性、企業の要件、および適用可能な法律および規制などの他の要因についても責任を担います。データプライバシーの詳細については、「データプライバシーに関するFAQs」を参照してください。欧州でのデータ保護の詳細については、 責任AWS 共有モデルと GDPR ブログ記事を参照してください。

AWS Well-Architected フレームワークのセキュリティの柱は、Neptune Analytics を使用する際に責任共有モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティとコンプライアンスの目的を達成するために Neptune Analytics を設定する方法について説明します。また、Neptune Analytics リソースのモニタリングと保護 AWS のサービス に役立つ他の の使用方法についても説明します。セキュリティの柱には、以下の主要な重点領域が含まれています。

  • データセキュリティ

  • ネットワークセキュリティ

  • 認証と認可

データセキュリティの実装

データ漏洩や違反は、顧客を危険にさらし、会社に大きな悪影響を与える可能性があります。以下のベストプラクティスは、不注意や悪意のある漏洩から顧客データを保護するのに役立ちます。

  • グラフ名、タグ、IAM ロール、およびその他のメタデータには、機密情報や機密情報を含めないでください。データは請求ログや診断ログに表示される可能性があるためです。

  • Neptune にデータとして保存されている外部サーバーへの URIs またはリンクには、リクエストを検証するための認証情報を含めないでください。

  • Neptune Analytics グラフは保管時に暗号化されます。選択したデフォルトキーまたは AWS Key Management Service (AWS KMS) キーを使用して、グラフを暗号化できます。一括インポート中に Amazon S3 にエクスポートされるスナップショットとデータを暗号化することもできます。インポートが完了したら、暗号化を削除できます。

  • openCypher 言語を使用する場合は、SQL インジェクションやその他の形式の攻撃を防ぐために、適切な入力検証とパラメータ化の手法を実践してください。ユーザーが指定した入力で文字列連結を使用するクエリを構築しないでください。パラメータ化されたクエリまたは準備済みステートメントを使用して、入力パラメータをグラフデータベースに安全に渡します。詳細については、Neptune ドキュメントのopenCypher パラメータ化されたクエリの例」を参照してください。

ネットワークを保護する

パブリック接続用の Neptune Analytics グラフを有効にして、Virtual Private Cloud (VPC) の外部からアクセスできるようにします。この接続はデフォルトで無効になっています。グラフには IAM 認証が必要です。発信者は ID を取得し、グラフを使用するアクセス許可を持っている必要があります。たとえば、openCypher クエリを実行するには、呼び出し元に特定のグラフに対する読み取り、書き込み、または削除のアクセス許可が必要です。

グラフのプライベートエンドポイントを作成して、VPC 内からグラフにアクセスすることもできます。エンドポイントを作成するときは、VPC、サブネット、セキュリティグループを指定して、グラフを呼び出すアクセスを制限します。

転送中のデータを保護するために、Neptune Analytics は HTTPS 経由でグラフに SSL 接続を適用します。詳細については、Neptune Analytics ドキュメントの「Neptune Analytics でのデータ保護」を参照してください。

認証と認可を実装する

Neptune Analytics グラフを呼び出すには、IAM 認証が必要です。呼び出し元は ID を取得し、グラフでアクションを実行するための十分なアクセス許可を持っている必要があります。API アクションとその必要なアクセス許可の詳細については、Neptune Analytics API ドキュメントを参照してください。条件チェックを適用して、タグによるアクセスを制限できます。

IAM 認証では、AWS 署名バージョン 4 (SigV4) プロトコルを使用します。アプリケーションからの使用を簡素化するために、 AWS SDK を使用することをお勧めします。たとえば、Python では、SigV4 を抽象化する Neptune Graph の Boto3 クライアントを使用します。

グラフにデータをロードすると、バッチロードは発信者の IAM 認証情報を使用します。呼び出し元には、Neptune Analytics が Amazon S3 ファイルからグラフにデータをロードするロールを引き受けられるように、信頼関係を設定して Amazon S3 からデータをダウンロードするアクセス許可が必要です。

一括インポートは、グラフの作成時 (インフラストラクチャチーム) または既存の空のグラフ上 (インポートタスクを開始する権限を持つデータエンジニアリングチーム) に実行できます。どちらの場合も、Neptune Analytics は発信者が入力として提供する IAM ロールを引き受けます。このロールは、入力データがステージングされている Amazon S3 フォルダの内容を読み取って一覧表示するアクセス許可を付与します。