AWS Systems Manager でのデータ保護 - AWS Systems Manager
データ暗号化インターネットトラフィックのプライバシー

AWS Systems Manager でのデータ保護

データ保護には、転送中 (Systems Manager 間でデータを送受信するとき) のデータを保護するものと、保管時 (AWS データセンター内のディスクに格納されているとき) のデータを保護するものがあります。

AWS責任共有モデルは、AWS Systems Manager でのデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護する責任を負います。顧客は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。このコンテンツには、使用される AWS のサービス のセキュリティ構成と管理タスクが含まれます。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された「AWS 責任共有モデルおよび GDPR」のブログ記事を参照してください。

データを保護するため、AWS アカウント の認証情報を保護し、AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要なアクセス許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 および TLS 1.3 をお勧めします。

  • AWS CloudTrail で API とユーザーアクティビティログをセットアップします。

  • AWS のサービス 内でデフォルトである、すべてのセキュリティ管理に加え、AWS の暗号化ソリューションを使用します。

  • Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API を使用して AWS にアクセスするときに FIPS 140−2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、連邦情報処理規格 (FIPS) 140-2 を参照してください。

お客様の E メールアドレスなどの極秘または機密情報は、タグ、または名前フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK で Systems Manager または他の AWS のサービス を使用する場合も同様です。タグ、または名前に使用される自由形式のテキストフィールドに入力されるデータは、請求または診断ログに使用される場合があります。外部サーバーへ URL を供給する場合は、そのサーバーへのリクエストを検証するために、認証情報を URL に含めないことを強くお勧めします。

データ暗号化

保管中の暗号化

Parameter Store パラメータ

AWS Systems Manager の一機能である Parameter Store で作成できるパラメータのタイプには、StringStringListSecureString などがあります。

SecureString パラメータ値を暗号化するため、Parameter Store は AWS Key Management Service (AWS KMS) で AWS KMS key を使用します。AWS KMS はカスタマーマネージドキーまたは AWS マネージドキー のいずれかを使用して、 AWS マネージドデータベースのパラメータ値を暗号化します。

重要

String または StringList パラメータに機密データを保存しないでください。機密データを暗号化したままにする場合は、SecureString パラメータタイプのみを使用します。

詳細については、パラメータとは何ですか? および IAM ポリシーを使用して Systems Manager パラメータへのアクセスを制限する を参照してください。

S3 バケット内のコンテンツ

Systems Manager オペレーションの一環として、1 つまたは複数の Amazon Simple Storage Service (Amazon S3) バケットにデータをアップロードまたは保存できます。

S3 バケット暗号化の詳細については、Amazon Simple Storage Service ユーザーガイドの「暗号化を使用したデータの保護」および「Amazon S3 におけるデータ保護」を参照してください。

Systems Manager アクティビティの一環として S3 バケットにアップロードまたは保存できるデータのタイプは次の通りです。

  • AWS Systems Manager の一機能である Run Command のコマンドの出力

  • AWS Systems Manager の一機能である Distributor のパッケージ

  • AWS Systems Manager の一機能である Patch Manager でのパッチ適用オペレーションのログ

  • Patch Managerのパッチ上書きリスト

  • Automation の Runbook ワークフローで実行するスクリプトまたは Ansible Playbook (AWS Systems Manager の機能)

  • コンプライアンスのスキャンで使用する Chef InSpec プロファイル (AWS Systems Manager の機能)

  • AWS CloudTrail ログ

  • AWS Systems Manager の一機能である Session Manager でのセッション履歴ログ

  • AWS Systems Manager の一機能である Explorer からのレポート

  • AWS Systems Manager の一機能である OpsCenter からの OpsData

  • Automation ワークフローで使用する AWS CloudFormation テンプレート

  • リソースデータ同期スキャンからのコンプライアンスデータ

  • マネージドノードの State Manager (AWS Systems Manager の機能) の関連付けを作成または編集するリクエストの出力

  • AWS 管理対象の SSM ドキュメント AWS-RunDocument を使用して実行できる Systems Manager のカスタムドキュメント (SSM ドキュメント)

CloudWatch Logs ロググループ

Systems Manager オペレーションの一環として、1 つ以上の Amazon CloudWatch Logs ロググループにデータをストリーミングできます。

CloudWatch Logs ロググループの暗号化の詳細については、Amazon CloudWatch Logs ユーザーガイドの「AWS Key Management Service を使用した CloudWatch Logs でのログデータの暗号化」を参照してください。

アクティビティの一環として CloudWatch Logs ロググループにSystems Managerストリーミングした可能性のあるデータのタイプは次の通りです。

  • Run Command コマンドの出力

  • オートメーション runbook 内の aws:executeScript アクションを使用して実行されるスクリプトの出力

  • Session Manager セッションの履歴ログ

  • マネージド型ノードの SSM Agent のログ

転送中の暗号化

Transport Layer Security (TLS) のような暗号化プロトコルを使用してクライアントとユーザーノードの間で送受信される機密データを暗号化することをお勧めします。

Systems Manager では、転送中のデータの暗号化について、次のサポートが提供されます。

Systems Manager API エンドポイントへの接続

Systems Manager API エンドポイントでは、HTTPS 経由の安全な接続のみがサポートされます。Systems Manager リソースを AWS Management Console、AWS SDK、または Systems Manager API を使用して管理する場合、すべての通信は Transport Layer Security (TLS) で暗号化されます。API エンドポイントの完全なリストについては、「Amazon Web Services 全般のリファレンス」の「AWS のサービス エンドポイント」を参照してください。

マネージドインスタンス

AWS は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス間のセキュアでプライベートな接続を提供します。また、同じ Virtual Private Cloud (VPC) 内やピア接続された VPC 内のサポートされているインスタンス間で転送中のトラフィックを自動的に暗号化します。これには、256 ビット暗号化の AEAD アルゴリズムを使用します。この暗号化機能は、基盤となるハードウェアのオフロード機能を使用し、ネットワークパフォーマンスには影響を及ぼしません。サポートされているインスタンスは、C5n、G4、I3en、M5dn、M5n、P3dn、R5dn、R5n です。

Session Manager セッション

デフォルトでは、Session Manager は、TLS 1.2 を使用して、アカウント内のユーザーのローカルマシンと EC2 インスタンス間で送信されるセッションのデータを暗号化します。AWS KMS で作成された AWS KMS key を使用して、転送中のデータをさらに暗号化することもできます。AWS KMS 暗号化は、Standard_StreamInteractiveCommands、および NonInteractiveCommands セッションタイプで使用できます。

Run Command アクセス

デフォルトで、Run Command を使用してノードへのリモートアクセスは、TLS 1.2 を使用して暗号化され、接続確立のリクエストは SigV4 を使用して署名されます。

インターネットトラフィックのプライバシー

Amazon Virtual Private Cloud (Amazon VPC) を使用して、マネージドノード内のリソース間に境界を作成し、それらの間のトラフィック、オンプレミス ネットワーク、インターネットを制御できます。詳細については、「VPC エンドポイントの作成」を参照してください。

Amazon Virtual Private Cloud セキュリティの詳細については、Amazon VPC ユーザーガイドの「Amazon VPC でのインターネットワークトラフィックのプライバシー」を参照してください。