AWS Snowball Edge でのデータ保護 - AWS Snowball Edge デベロッパーガイド
クラウドでのデータの保護デバイスのデータの保護

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Snowball Edge でのデータ保護

AWS Snowball は、データ保護に関する規制とガイドラインを含む AWS 責任共有モデル に準拠しています。 AWS は、すべての AWS サービスを実行するグローバルインフラストラクチャを保護する責任を負います。 AWS は、顧客コンテンツや個人データを処理するためのセキュリティ設定コントロールなど、このインフラストラクチャでホストされるデータの制御を維持します。 AWS の顧客およびAPNパートナーは、 に格納される個人データに対して責任を負います AWS クラウド。

データ保護の目的で、 AWS アカウント 認証情報を保護し、個々のユーザーを AWS Identity and Access Management (IAM) で設定することをお勧めします。これにより、各ユーザーに各自の職務を果たすために必要なアクセス許可のみが付与されます。また、次の方法でデータを保護することもお勧めします:

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。1.2 TLS 以降をお勧めします。

  • で APIとユーザーアクティビティのログ記録を設定します AWS CloudTrail。

  • AWS 暗号化ソリューションと、 サービス内のすべての AWS デフォルトのセキュリティコントロールを使用します。

  • Amazon Macie などのアドバンストマネージドセキュリティサービスを使用します。これは、Amazon S3 に保存されている個人データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは AWS を介して にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合はAPI、FIPSエンドポイントを使用します。利用可能なFIPSエンドポイントの詳細については、「連邦情報処理標準 (FIPS) 140-2」を参照してください。

顧客のアカウント番号などの機密の識別情報は、[名前] フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これには、 コンソール、、 AWS Snowball または を使用して または他の AWS API AWS CLIサービスを使用する場合が含まれます AWS SDKs。 AWS Snowball または他のサービスに入力したデータはすべて、診断ログの内容として取得される可能性があります。URL を外部サーバーに提供するときは、そのサーバーへのリクエストを検証URLするために認証情報を に含めないでください。

データ保護の詳細については、「セキュリティブログ」のAWS 「 責任共有モデル」とGDPR「ブログ記事」を参照してください。 AWS

クラウドでのデータの保護

AWS Snowball は、データを Amazon S3 にインポートまたはエクスポートするとき、Snow Family デバイスを注文するジョブを作成するとき、およびデバイスが更新されたときにデータを保護します。以下のセクションでは、Snowball Edge を使用してオンラインまたはクラウド AWS で とやり取りするときにデータを保護する方法について説明します。

AWS Snowball Edge の暗号化

Snowball Edge を使用して S3 にデータをインポートする場合、デバイスに転送されるすべてのデータは、ネットワークを介したSSL暗号化によって保護されます。保管中のデータを保護するために、 AWS Snowball Edge はサーバー側の暗号化 () を使用しますSSE。

AWS Snowball Edge でのサーバー側の暗号化

AWS Snowball Edge は、Amazon S3 マネージド暗号化キー (SSE-S3) によるサーバー側の暗号化をサポートしています。サーバー側の暗号化は保管中のデータを保護することであり、SSE-S3 には Amazon S3 に保存中のデータを保護するための強力な多要素暗号化があります。SSE-S3 の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3-Managed暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。

現在、 AWS Snowball Edge は、お客様提供のキー (SSE-C) によるサーバー側の暗号化を提供していません。Snow Family デバイス上の Amazon S3 互換ストレージは、ローカルコンピューティングとストレージジョブに SSE-C を提供します。ただし、インポートされたデータを保護するためにそのSSEタイプを使用するか、エクスポートするデータで既に使用している場合があります。このような場合は、以下の点に注意してください。

  • インポート

    SSE-C を使用して Amazon S3 にインポートしたオブジェクトを暗号化する場合は、そのバケットのバケットポリシーの一部として確立された SSE- KMSまたは SSE-S3 暗号化の使用を検討する必要があります。ただし、Amazon S3 にインポートしたオブジェクトを暗号化するために SSE-C を使用する必要がある場合は、バケット内のオブジェクトをコピーして SSE-C で暗号化する必要があります。これを実現するサンプルCLIコマンドを次に示します。

    aws s3 cp s3://amzn-s3-demo-bucket/object.txt s3://amzn-s3-demo-bucket/object.txt --sse-c --sse-c-key 1234567891SAMPLEKEY

    または

    aws s3 cp s3://amzn-s3-demo-bucket s3://amzn-s3-demo-bucket --sse-c --sse-c-key 1234567891SAMPLEKEY --recursive

  • エクスポート – SSE-C で暗号化されたオブジェクトをエクスポートする場合は、まず、サーバー側の暗号化がない、またはバケットのバケットポリシーで SSE-KMS または SSE-S3 が指定されている別のバケットにオブジェクトをコピーします。

Snowball Edge から Amazon SSES3 にインポートされたデータの -S3 を有効にする Amazon S3

Amazon S3 マネジメントコンソールで次の手順を使用して、Amazon SSE-S3Amazon S3を有効にします。 AWS Snow ファミリーマネジメントコンソール または Snowball デバイス自体の設定は必要ありません。

Amazon SSES3 にインポートするデータの -S3 暗号化を有効にするには、データをインポートするすべてのバケットのバケットポリシーを設定します。 Amazon S3 アップロードリクエストに s3:PutObject ヘッダーが含まれていない場合は、ポリシーを更新してオブジェクトのアップロード (x-amz-server-side-encryption) 許可を拒否します。

Amazon SSES3 にインポートされたデータの -S3 を有効にするには Amazon S3

  1. にサインイン AWS Management Console し、 で Amazon S3 コンソールを開きますhttps://console.aws.amazon.com/s3/

  2. データをインポートする先のバケットを、バケットのリストから選択します。

  3. [Permissions] を選択します。

  4. [バケットポリシー] を選択します。

  5. [Bucket policy editor] に、次のポリシーを入力します。のすべてのインスタンスを置き換える YourBucket バケットの実際の名前を持つこのポリシー。

    {
  "Version": "2012-10-17",
  "Id": "PutObjPolicy",
  "Statement": [
    {
      "Sid": "DenyIncorrectEncryptionHeader",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    },
    {
      "Sid": "DenyUnEncryptedObjectUploads",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "Null": {
          "s3:x-amz-server-side-encryption": "true"
        }
      }
    }
  ]
}

  6. [Save] を選択します。

Amazon S3 バケットの設定が終了しました。データがこのバケットにインポートされると、データは SSE-S3 によって保護されます。必要に応じて、その他のバケットに対してこの手順を繰り返します。

AWS Key Management ServiceAWS Snowball Edge で

AWS Key Management Service (AWS KMS) は、データの暗号化に使用される暗号化キーを簡単に作成および制御できるマネージドサービスです。 は、ハードウェアセキュリティモジュール (HSMs) AWS KMS を使用して、キーのセキュリティを保護します。具体的には、 AWS Snowball Edge のジョブ用に選択した AWS KMS キーの Amazon リソースネーム (ARN) は、KMSキーに関連付けられます。このKMSキーは、ジョブのロック解除コードを暗号化するために使用されます。解除コードは、マニフェストファイルで暗号化の最上位レイヤーを復号するために使用されます。マニフェストファイル内に保存された暗号化キーは、デバイス上のデータを暗号化および復号するために使用されます。

AWS Snowball Edge では、 は各 AWS Snowball Edge デバイスのデータを保護するために使用される暗号化キー AWS KMS を保護します。ジョブを作成するときは、既存のKMSキーも選択します。 AWS KMS キーARNに を指定すると、 AWS Snowball Edge デバイス上の一意のキーの暗号化に使用する AWS Snowball AWS KMS keys が指示されます。 AWS Snowball Edge でサポートされている Amazon S3 server-side-encryption options の詳細については、「」を参照してくださいAWS Snowball Edge でのサーバー側の暗号化

Snowball Edge AWS KMS keys のマネージドカスタマーの使用

アカウント用に作成された Snowball Edge AWS KMS keys のマネージドカスタマーを使用する場合は、以下の手順に従います。

ジョブで AWS KMS keys を選択するには

  1. で AWS Snow ファミリーマネジメントコンソール、ジョブの作成 を選択します。

  2. ジョブタイプを選択し、[Next] を選択します。

  3. 配送の詳細を入力し、[Next] を選択します。

  4. ジョブの詳細を入力し、[Next] を選択します。

  5. セキュリティオプションを設定します。暗号化 で、KMSキーに AWS マネージドキー または で以前に作成されたカスタムキーを選択するか AWS KMS、別のアカウントが所有するキーを入力する必要がある場合はキーを入力ARNを選択します。

    注記

    AWS KMS key ARN は、カスタマーマネージドキーのグローバルに一意の識別子です。

  6. 次へ を選択して、 の選択を完了します AWS KMS key。

  7. Snow デバイスIAMユーザーにKMSキーへのアクセスを許可します。

    1. IAM コンソール (https://console.aws.amazon.com/iam/) で、暗号化キーに移動し、デバイス上のデータの暗号化に使用するKMSキーを開きます。

    2. キーユーザー で、「 を追加」を選択し、Snow デバイスIAMユーザーを検索し、「 のアタッチ」を選択します。

カスタムKMSエンベロープ暗号化キーの作成

AWS Snowball Edge で独自のカスタム AWS KMS エンベロープ暗号化キーを使用するオプションがあります。独自のキーの作成を選択した場合は、ジョブを作成したのと同じリージョンで作成する必要があります。

ジョブ用の独自の AWS KMS キーを作成するには、「 AWS Key Management Service デベロッパーガイド」の「キーの作成」を参照してください。

デバイスのデータの保護

AWS Snowball Edge の保護

AWS Snowball Edge を使用する際に考慮すべきセキュリティポイントと、デバイスが処理 AWS のために に到着したときに実行するその他のセキュリティ上の注意事項に関する大まかな情報は次のとおりです。

以下のセキュリティ手段をお勧めします。

  • デバイスが到着したら、まず、損傷や明らかな改ざんがないか検査してください。 デバイスに疑わしい点が見つかった場合は、内部ネットワークに接続しないでください。AWS Support にお問い合わせいただければ、新しいデバイスをお客様宛に配送します。

  • ジョブの認証情報が漏れないように保護するための取り組みをしてください。ジョブのマニフェストと解除コードにアクセスできる個人は、そのジョブに送信されたデバイスのコンテンツにもアクセスできます。

  • 配送ドックにデバイスを放置しないでください。配送ドックに置いたままにすると、屋外環境にさらされることになります。各 AWS Snowball Edge デバイスは堅牢ですが、天候によりハードウェアの最も堅牢な機能が損なわれる可能性があります。デバイスの盗難、紛失、破損はできるだけ速やかにご報告ください。問題の報告が早いほど、代替品をすぐにお送りしてお客様のジョブを完了させることができます。

注記

AWS Snowball Edge デバイスは のプロパティです AWS。デバイスへの改ざんは、 AWS 利用規定の違反です。詳細については、http://aws.amazon.com/aup/ をご覧ください。

私たちは次のセキュリティステップを実行しています。

  • Amazon S3 アダプターでデータを転送する場合、オブジェクトメタデータは保持されません。同一のまま残るメタデータは filename および filesize のみです。そのほかのメタデータはすべて、次の例のように設定されます: -rw-rw-r-- 1 root root [filesize] Dec 31 1969 [path/filename]

  • ファイルインターフェイスでデータを転送する場合、オブジェクトメタデータは保持されます。

  • デバイスが に到着すると AWS、改ざんの兆候がないか検査し、Trusted Platform Module () によって変更が検出されていないことを確認しますTPM。 AWS Snowball Edge は、改ざん耐性のある筐体、256 ビット暗号化、データのセキュリティと完全な保管チェーンの両方を提供するように設計された業界標準など、データを保護するTPMように設計された複数のセキュリティレイヤーを使用します。

  • データ転送ジョブが処理および検証されると、 AWS は、メディアのサニタイズに関する米国国立標準技術研究所 (NIST) ガイドラインに従った Snowball デバイスのソフトウェア消去を実行します。

NFC タグの検証

Snowball Edge Compute Optimized および Snowball Edge Storage Optimized (データ転送用) デバイスにはNFC、タグが組み込まれています。これらのタグは、Android 用 AWS Snowball Edge Verification アプリでスキャンできます。これらのNFCタグをスキャンして検証すると、デバイスを使用する前にデバイスが改ざんされていないことを確認するのに役立ちます。

NFC タグの検証には、Snowball Edge クライアントを使用してデバイス固有の QR コードを生成し、スキャンするタグが正しいデバイス用であることを確認します。

次の手順では、Snowball Edge デバイスのNFCタグを検証する方法について説明します。開始する前に、「使用開始」演習の以下の最初の 5 つのステップを実行したことを確認します。

  1. Snowball Edge ジョブを作成します。詳細については、「Snow Family デバイスを注文するジョブの作成」を参照してください。

  2. デバイスを受け取ります。詳細については、「Snowball Edge の受領」を参照してください。

  3. ローカルネットワークに接続します。詳細については、「Snow Family デバイスをローカルネットワークに接続する」を参照してください。

  4. 認証情報とツールを取得します。詳細については、「Snow Family デバイスにアクセスするための認証情報の取得」を参照してください。

  5. Snowball Edge クライアントのダウンロードとインストール 詳細については、「Snowball Edge クライアントのダウンロードとインストール」を参照してください。

NFC タグを検証するには

  1. snowballEdge get-app-qr-code Snowball Edge クライアントのコマンドを実行します。クラスターのノードに対してこのコマンドを実行する場合は、シリアル番号 (--device-sn) を指定して、1 つのノードの QR コードを取得します。クラスターの各ノードについて、このステップを繰り返します。このコマンドの使用の詳細については、「Snowball Edge NFC タグを検証するための QR コードの取得」を参照してください。

    QR コードは選択した場所に .png ファイルとして保存されます。

  2. 保存した .png ファイルに移動し、これを開き、アプリで QR コードをスキャンできるようにします。

  3. これらのタグは、Android の AWS Snowball エッジ検証アプリを使用してスキャンできます。

    注記

    AWS Snowball Edge Verification App はダウンロードできませんが、アプリが既にインストールされているデバイスがある場合は、アプリを使用できます。

  4. アプリを起動し、画面の指示に従います。

これで、デバイスのNFCタグが正常にスキャンおよび検証されました。

スキャン中に問題が発生した場合は、次の操作を試してください。

  • デバイスに Snowball Edge Compute Optimized オプション ( の有無にかかわらず) があることを確認しますGPU。

  • アプリがインストールされている別のデバイスがある場合は、そのデバイスを使用してみてください。

  • デバイスを部屋の隔離されたエリアに移動し、他のNFCタグからの干渉から遠ざけて、再試行してください。

  • 問題が解決しない場合は、AWS Support にお問い合わせください。