でのデータ保護 AWS Proton

AWS Proton は、データ保護に関する規制とガイドラインを含む AWS 責任共有モデルに準拠しています。 AWS は、すべての を実行するグローバルインフラストラクチャを保護する責任があります。 は、このインフラストラクチャでホストされるデータの制御 AWS を維持します AWS のサービス。 お客様のコンテンツと個人データを処理するためのセキュリティ設定コントロールを含めます。 AWS のお客様および APN パートナー、 データコントローラーまたはデータ処理者として動作する は、 に入力した個人データについて責任を負います。 AWS クラウド

データ保護の目的で、 AWS アカウント 認証情報を保護し、 AWS Identity and Access Management (IAM) を使用して個々のユーザーアカウントを設定することをお勧めします。これにより、各ユーザーに各自の職務を果たすために必要なアクセス許可のみが付与されます。また、次の方法でデータを保護することもお勧めします:

• 各アカウントで多要素認証 (MFA) を使用します。

• SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 以降が推奨されます。

• で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。

• AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。

ユーザーのアカウント番号などの機密の識別情報は、[Name (名前)] フィールドなどの自由形式のテキストフィールドに配置しないでください。これは、コンソール AWS Proton 、API、または SDK AWS のサービス を使用して AWS CLIまたは他の を操作する場合も同様です。 AWS SDKs リソース識別子の自由形式のテキストフィールドに入力したデータはすべて、診断ログの内容として取得される可能性があります。 AWS 外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。

データ保護の詳細については、AWS セキュリティブログ のブログ投稿「AWS の責任共有モデルと GDPR」を参照してください。

サーバー側の保管データの暗号化

テンプレートバンドルを保存する S3 バケット内の保管中のテンプレートバンドル内の機密データを暗号化することを選択した場合は、SSE-S3 または SSE-KMS キーを使用して、登録済みの AWS Proton テンプレートにアタッチできるように AWS Proton がテンプレートバンドルを取得できるようにする必要があります。

転送中の暗号化

すべてのサービス間の通信は、SSL/TLS を使用して転送中に暗号化されます。

AWS Proton 暗号化キー管理

内では AWS Proton、すべての顧客データはデフォルトで AWS Proton 所有キーを使用して暗号化されます。カスタマー所有のマネージド AWS KMS キーを指定すると、次の段落で説明するように、すべてのカスタマーデータはカスタマー提供のキーを使用して暗号化されます。

AWS Proton テンプレートを作成するときは、キーを指定し、認証情報 AWS Proton を使用して、 がキーを使用 AWS Proton できるようにする権限を作成します。

手動で許可を辞退したり、指定したキーを無効にするか削除した場合、 AWS Proton は指定されたキーで暗号化データを読み込めなくなり、ValidationException を破棄します。

AWS Proton 暗号化コンテキスト

AWS Proton は暗号化コンテキストヘッダーをサポートしています。暗号化コンテキストは、データに関する追加のコンテキスト情報を含めることができるキーと値のペアのオプションのセットです。暗号化コンテキストの一般的な情報については、AWS Key Management Service デベロッパーガイドの「AWS Key Management Service の概念 - 暗号化コンテキスト」を参照してください。

暗号化コンテキストは、シークレットデータを含まない一連のキーと値のペアです。データを暗号化するリクエストに暗号化コンテキストを含めると、 AWS KMS は暗号化コンテキストを暗号論的に暗号化データにバインドします。データを復号するには、同じ暗号化コンテキストに渡す必要があります。

お客様は、暗号化コンテキストを使用して、監査レコードおよびログにおけるカスタマーマネージドキーの使用を識別できます。これは、 AWS CloudTrail や Amazon CloudWatch Logs などのログにもプレーンテキストで表示されます。

AWS Proton は、お客様指定または外部指定の暗号化コンテキストを取りません。

AWS Proton は、次の暗号化コンテキストを追加します。

{
  "aws:proton:template": "<proton-template-arn>",
  "aws:proton:resource": "<proton-resource-arn>" 
}

最初の暗号化コンテキストは、リソースが関連付けられている AWS Proton テンプレートを識別し、カスタマーマネージドキーのアクセス許可と許可の制約としても機能します。

2 番目の暗号化コンテキストは、暗号化されている AWS Proton リソースを識別します。

次の例は、 AWS Proton 暗号化コンテキストの使用を示しています。

サービスインスタンスを作成するデベロッパー。

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service/my-service/service-instance/my-service-instance" 
}

テンプレートを作成する管理者。

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service-template/my-template"
}