翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Kinesis Data Streams のセキュリティのベストプラクティス
Amazon Kinesis Data Streams には、独自のセキュリティポリシーを策定および実装する際に考慮すべきさまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは処方箋ではなく、有用な考慮事項と見なしてください。
最小特権アクセスの実装
許可を付与する場合、どのユーザーにどの Kinesis Data Streams リソースに対する許可を付与するかは、お客様が決定します。これらのリソースで許可したい特定のアクションを有効にするのも、お客様になります。このため、タスクの実行に必要なアクセス許可のみを付与する必要があります。最小特権アクセスの実装は、セキュリティリスクと、エラーや悪意によってもたらされる可能性のある影響の低減における基本になります。
IAM ロールを使用する
プロデューサーおよびクライアントアプリケーションは、Kinesis Data Streams にアクセスするための有効な認証情報を持っている必要があります。 AWS 認証情報は、クライアントアプリケーションまたは Amazon S3 バケットに直接保存しないでください。これらは自動的にローテーションされない長期的な認証情報であり、漏洩するとビジネスに大きな影響が及ぶ場合があります。
代わりに、 IAMロールを使用して、プロデューサーおよびクライアントアプリケーションが Kinesis データストリームにアクセスするための一時的な認証情報を管理する必要があります。ロールを使用するときは、他のリソースにアクセスするために長期的な認証情報 (ユーザー名とパスワード、またはアクセスキーなど) を使用する必要がありません。
詳細については、 IAMユーザーガイドの以下のトピックを参照してください。
依存リソースにサーバー側の暗号化を実装する
保管中のデータと転送中のデータは Kinesis Data Streams で暗号化できます。詳細については、「Amazon Kinesis Data Streams でのデータ保護」を参照してください。
を使用してAPI通話をモニタリング CloudTrail する
Kinesis Data Streams は AWS CloudTrail、Kinesis Data Streams のユーザー、ロール、または サービスによって実行されたアクションを記録する AWS サービスである と統合されています。
で収集された情報を使用して CloudTrail、Kinesis Data Streams に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。
詳細については、「で Amazon Kinesis Data Streams API呼び出しをログに記録する AWS CloudTrail」を参照してください。
