AWS Proton でのデータ保護 - AWS Proton
サーバー側の保管データの暗号化転送中の暗号化AWS Proton 暗号化キーの管理AWS Proton の暗号化コンテキスト

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Proton でのデータ保護

AWS Proton は、データ保護に関する規制やガイドラインなどの AWS 責任共有モデルに準拠しています。AWS は、AWS のサービス のすべてのサービスを実行するグローバルインフラストラクチャを保護する責任を負います。AWS は、お客様のコンテンツや個人データを取り扱うためのセキュリティ設定コントロールなど、このインフラストラクチャでホストされるデータの制御を管理します。AWS のお客様および APN パートナーは、データ管理者またはデータ処理者として、AWS クラウド クラウドに格納した個人データに対して責任を負います。

データ保護目的の場合、AWS アカウント 認証情報を保護し、AWS Identity and Access Management (IAM) を用いて個々のユーザーアカウントを セットアップすることにより、そのユーザーに各自の職務を果たすために必要なアクセス許可のみが付与されるようにすることをお勧めします。また、次の方法でデータを保護することをお勧めします。

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 以降が推奨されます。

  • AWS CloudTrail で API とユーザーアクティビティログをセットアップします。

  • AWS のサービス 内でデフォルトである、すべてのセキュリティ管理に加え、AWS の暗号化ソリューションを使用します。

ユーザーのアカウント番号などの機密の識別情報は、[Name (名前)] フィールドなどの自由形式のテキストフィールドに配置しないでください。これは、コンソール、API、AWS CLI、または AWS SDK で AWS Proton または他の AWS のサービス を使用する場合も同様です。リソース識別子の自由形式のテキストフィールドに入力したデータはすべて、診断ログの内容として取得される可能性があります。AWS外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。

データ保護の詳細については、AWS セキュリティブログ のブログ投稿「AWS の責任共有モデルと GDPR」を参照してください。

サーバー側の保管データの暗号化

テンプレートバンドルを保存する S3 バケット内のテンプレートバンドルの機密データを暗号化する場合は、SSE-S3 または SSE-KMS キーを使用して AWS Proton テンプレートバンドルを取得して、登録済み AWS Proton テンプレートにアタッチできるようにする必要があります。

転送中の暗号化

すべてのサービス間の通信は、SSL/TLS を使用して転送中に暗号化されます。

AWS Proton 暗号化キーの管理

AWS Proton の範囲内では、AWS Proton が所有するキーを使用してすべてのカスタマーデータがデフォルトで暗号化されます。カスタマーが所有するマネージド AWS KMS キーを提供する場合、すべてのカスタマーデータは、以下で説明するように、カスタマーが提供するキーを使用して暗号化されます。

AWS Proton テンプレートを作成する際には、キーを指定すれば、AWS Proton は認証情報に基づいて AWS Proton でキーを使用できるように許可を生成します。

手動で許可を辞退したり、指定したキーを無効にするか削除した場合、AWS Proton は指定されたキーで暗号化データを読み込めなくなり、ValidationException を破棄します。

AWS Proton の暗号化コンテキスト

AWS Proton は、暗号化コンテキストヘッダーをサポートします。暗号化コンテキストは、データに関する追加のコンテキスト情報を含めることができるキーと値のペアのオプションのセットです。暗号化コンテキストの一般的な情報については、AWS Key Management Service デベロッパーガイドの「AWS Key Management Service の概念 - 暗号化コンテキスト」を参照してください。

暗号化コンテキストは、シークレットデータを含まない一連のキーと値のペアです。データを暗号化するリクエストに暗号化コンテキストを含めると、AWS KMS は暗号化コンテキストを暗号論的に暗号化データにバインドします。データを復号するには、同じ暗号化コンテキストに渡す必要があります。

お客様は、暗号化コンテキストを使用して、監査レコードおよびログにおけるカスタマーマネージドキーの使用を識別できます。これは、AWS CloudTrail や Amazon CloudWatch Logs などのログにもプレーンテキストで表示されます。

AWS Proton は、カスタマー指定または外部指定の暗号化コンテキストを考慮しません。

AWS Proton は、次の暗号化コンテキストを追加します。

{
  "aws:proton:template": "<proton-template-arn>",
  "aws:proton:resource": "<proton-resource-arn>" 
}

最初の暗号化コンテキストは、AWS Proton リソースが関連付けられたテンプレートを識別し、カスタマーマネージドキーのアクセス許可とその付与の制約としても機能します。

2 番目の暗号化コンテキストは、暗号化されている AWS Proton リソースを識別します。

以下は、AWS Proton 暗号化コンテキストの使用例です。

サービスインスタンスを作成するデベロッパー。

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service/my-service/service-instance/my-service-instance" 
}

テンプレートを作成する管理者。

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service-template/my-template"
}