AWS Proton のセキュリティのベストプラクティス

AWS Proton では、お客様が独自のセキュリティポリシーを開発し、実装するときに検討すべきセキュリティ機能をいくつか提供しています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションに相当するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるので、処方箋ではなく、あくまで有用な検討事項とお考えください。

IAM を使用したアクセス制御

IAM は AWS のユーザーとそのアクセス許可を管理できる AWS のサービス です。IAM と AWS Proton を組み合わせることで、テンプレート、環境、サービスの管理など、管理者や開発者が実行できる AWS Proton アクションを指定できます。IAM サービスロールを使用すると、AWS Proton はユーザーに代わって他のサービスを呼び出せます。

AWS Proton および IAM ロールの詳細については、の ID とアクセスの管理 AWS Proton を参照してください。

最小特権アクセスの実装 詳細については、『AWS Identity and Access Management ユーザーガイド』の 「IAM のポリシーとアクセス許可」を参照してください。

テンプレートおよびテンプレートバンドルに認証情報を埋め込まない

AWS CloudFormation テンプレートやテンプレートバンドルに機密情報を埋め込むのではなく、スタックテンプレートで 動的リファレンス を使用することをお勧めします。

動的なリファレンスでは、AWS Systems Manager パラメータストアや AWS Secrets Manager など、他のサービスに保存、管理されている外部値を参照するためのコンパクトで強力な方法が得られます。動的なリファレンスを使用すると、CloudFormation は、スタックオペレーションおよび変更セットオペレーション中に指定されたリファレンスの値を取得して、その値を適切なリソースに渡します。ただし、CloudFormation が実際の参照値を保存することはありません。詳細については、AWS CloudFormation ユーザーガイドの「動的リファレンスを使用してテンプレート値を指定する」を参照してください。

AWS Secrets Manager を使用して、データベースやその他のサービスの認証情報を安全に暗号化、保存、取得できます。AWS Systems Manager パラメータストア は、構成データ管理のための安全な階層型ストレージを提供します。

テンプレートパラメータの詳細については、AWS CloudFormation ユーザーガイドの「https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html」を参照してください。

暗号化を使用した機密データの保護

AWS Proton の範囲内では、AWS Proton が所有するキーを使用してすべてのカスタマーデータがデフォルトで暗号化されます。

プラットフォームチームのメンバーとしてあなたは、機密データを暗号化して保護するために、AWS Proton にカスタマーマネージドキーを提供できます。S3 バケットに保管中の機密データを暗号化します。詳細については、「AWS Proton でのデータ保護」を参照してください。

AWS CloudTrail を使用した API コールの表示とログ記録

AWS CloudTrail は、AWS アカウント 内で API コールを実行したすべてのユーザーを追跡します。誰かが AWS Proton API、AWS Proton コンソールまたは AWS Proton AWS CLI CLI コマンドを使用すると、必ず API コールがログに記録されます。ログ記録を有効にして Amazon S3 バケットを指定し、ログを保存します。こうすることで、必要に応じて、あなたのアカウントで誰がどのような AWS Proton 呼び出しを行ったかを監査できます。詳細については、「AWS Protonでのログ記録とモニタリング」を参照してください。