のセキュリティのベストプラクティス AWS Proton

AWS Proton には、独自のセキュリティポリシーを開発および実装する際に考慮すべきセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるので、処方箋ではなく、あくまで有用な検討事項とお考えください。

IAM を使用したアクセス制御

IAM は、ユーザーとそのアクセス許可を管理するために AWS のサービス 使用できる です AWS。で IAM を使用して AWS Proton 、テンプレート、環境、サービスの管理など、管理者と開発者が実行できる AWS Proton アクションを指定できます。IAM サービスロールを使用すると、 AWS Proton がユーザーに代わって他の サービスを呼び出すことができます。

AWS Proton および IAM ロールの詳細については、「」を参照してくださいの Identity and Access Management AWS Proton。

最小特権アクセスの実装 詳細については、『AWS Identity and Access Management ユーザーガイド』の 「IAM のポリシーとアクセス許可」を参照してください。

テンプレートおよびテンプレートバンドルに認証情報を埋め込まない

AWS CloudFormation テンプレートやテンプレートバンドルに機密情報を埋め込むのではなく、スタックテンプレートで動的参照を使用することをお勧めします。

動的参照は、 AWS Systems Manager Parameter Store や などの他のサービスに保存および管理されている外部値を参照するコンパクトで強力な方法を提供します AWS Secrets Manager。動的なリファレンスを使用すると、CloudFormation は、スタックオペレーションおよび変更セットオペレーション中に指定されたリファレンスの値を取得して、その値を適切なリソースに渡します。ただし、CloudFormation が実際の参照値を保存することはありません。詳細については、AWS CloudFormation ユーザーガイドの「動的リファレンスを使用してテンプレート値を指定する」を参照してください。

AWS Secrets Manager を使用して、データベースやその他のサービスの認証情報を安全に暗号化、保存、取得できます。AWS Systems Manager パラメータストア は、構成データ管理のための安全な階層型ストレージを提供します。

テンプレートパラメータの詳細については、AWS CloudFormation ユーザーガイドの「https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html」を参照してください。

暗号化を使用した機密データの保護

内では AWS Proton、すべての顧客データはデフォルトで AWS Proton 所有キーを使用して暗号化されます。

プラットフォームチームのメンバーは、カスタマーマネージドキーを に提供 AWS Proton して、機密データを暗号化および保護できます。S3 バケットに保管中の機密データを暗号化します。詳細については、「でのデータ保護 AWS Proton」を参照してください。

AWS CloudTrail を使用して API コールを表示およびログに記録する

AWS CloudTrail は、 で API コールを行っているすべてのユーザーを追跡します AWS アカウント。API コールは、API、コンソール AWS Proton 、または AWS Proton AWS CLI コマンドを使用するたびにログに AWS Proton 記録されます。ログ記録を有効にして Amazon S3 バケットを指定し、ログを保存します。これにより、必要に応じて、アカウントでどのような AWS Proton 呼び出しを行ったかを監査できます。詳細については、「でのログ記録とモニタリング AWS Proton」を参照してください。