AWS エンドユーザーメッセージングプッシュでのデータ保護 - AWS エンドユーザーメッセージングプッシュ
データ暗号化転送中の暗号化キー管理ネットワーク間トラフィックのプライバシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS エンドユーザーメッセージングプッシュでのデータ保護

責任 AWS 共有モデル、 AWS エンドユーザーメッセージングプッシュのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーに関するよくある質問を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された AWS 責任共有モデルおよび GDPR のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。

  • で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 AWS CloudTrail ユーザーガイド」のCloudTrail 証跡の使用」を参照してください。

  • AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。

  • Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または AWS CLI SDK を使用して AWS エンドユーザーメッセージングプッシュまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

データ暗号化

AWS エンドユーザーメッセージングプッシュデータは、転送中および保管中に暗号化されます。 AWS エンドユーザーメッセージングプッシュにデータを送信すると、データは受信および保存時に暗号化されます。 AWS エンドユーザーメッセージングプッシュからデータを取得すると、現在のセキュリティプロトコルを使用してデータが送信されます。

保管中の暗号化

AWS エンドユーザーメッセージングプッシュは、保存するすべてのデータを暗号化します。これには、設定データ、ユーザーおよびエンドポイントデータ、分析データ、および AWS エンドユーザーメッセージングプッシュに追加またはインポートするデータが含まれます。データを暗号化するために、 AWS End User Messaging Push は、サービスがユーザーに代わって所有および維持する internal AWS Key Management Service (AWS KMS) キーを使用します。これらのキーは定期的に更新されます。詳細については AWS KMS、 AWS Key Management Service デベロッパーガイドを参照してください。

転送中の暗号化

AWS エンドユーザーメッセージングプッシュは、HTTPS および Transport Layer Security (TLS) 1.2 以降を使用して、クライアントやアプリケーションと通信します。他の AWS サービスと通信するために、 AWS エンドユーザーメッセージングプッシュは HTTPS と TLS 1.2 を使用します。さらに、コンソール、 AWS SDK、または を使用して AWS エンドユーザーメッセージングプッシュリソースを作成および管理する場合 AWS Command Line Interface、すべての通信は HTTPS および TLS 1.2 を使用して保護されます。

キー管理

AWS エンドユーザーメッセージングプッシュデータを暗号化するために、 AWS エンドユーザーメッセージングプッシュは、サービスがユーザーに代わって所有および維持する内部 AWS KMS キーを使用します。これらのキーは定期的に更新されます。独自のキー AWS KMS や他のキーをプロビジョニングして使用して、 AWS エンドユーザーメッセージングプッシュに保存するデータを暗号化することはできません。

ネットワーク間トラフィックのプライバシー

インターネットワークトラフィックのプライバシーとは、 AWS エンドユーザーメッセージングプッシュとオンプレミスのクライアントとアプリケーション間、および AWS エンドユーザーメッセージングプッシュと同じ AWS リージョン内の他の AWS リソース間の接続とトラフィックを保護することです。以下の機能とプラクティスは、 AWS エンドユーザーメッセージングプッシュのインターネットネットワークトラフィックのプライバシーを確保するのに役立ちます。

AWS エンドユーザーメッセージングプッシュとオンプレミスクライアントおよびアプリケーション間のトラフィック

AWS エンドユーザーメッセージングプッシュとオンプレミスネットワーク上のクライアントおよびアプリケーションとの間にプライベート接続を確立するには、 を使用できます Direct Connect。これにより、標準の光ファイバーイーサネットケーブルを使用して、ネットワークを AWS Direct Connect ロケーションにリンクできます。ケーブルの一端はユーザーのルーターに接続します。もう 1 つのエンドは Direct Connect ルーターに接続されています。詳細については、「 Direct Connectユーザーガイド」「What is Direct Connect ?」( とは?) を参照してください。

公開された APIs を介した AWS エンドユーザーメッセージングプッシュへのアクセスを保護するために、API コールの AWS エンドユーザーメッセージングプッシュ要件に準拠することをお勧めします。 AWS エンドユーザーメッセージングプッシュでは、クライアントが Transport Layer Security (TLS) 1.2 以降を使用する必要があります。また、クライアントは、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもサポートしている必要があります。モードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

さらに、リクエストは、 AWS アカウントの AWS Identity and Access Management (IAM) プリンシパルに関連付けられているアクセスキー ID とシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

AWS エンドユーザーメッセージングプッシュと他の AWS リソース間のトラフィック

AWS エンドユーザーメッセージングプッシュと同じ AWS リージョン内の他の AWS リソース間の通信を保護するために、 AWS エンドユーザーメッセージングプッシュはデフォルトで HTTPS と TLS 1.2 を使用します。