AWS Systems Manager でのデータ保護 - AWS Systems Manager
データ暗号化インターネットトラフィックのプライバシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Systems Manager でのデータ保護

データ保護には、転送時 ( との間でデータを送受信するときSystems Manager) のデータを保護するものと、保管時 ( データセンターに格納されているとき) AWS のデータを保護するものがあります。

AWS 責任共有モデル、 でのデータ保護に適用されますAWS Systems Manager。このモデルで説明したように、 AWS は、すべての を実行するグローバルインフラストラクチャを保護する責任を担います AWS クラウド。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。また、使用する AWS のサービス のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、「AWS セキュリティブログ」に投稿された「AWS 責任共有モデルおよび GDPR」のブログ記事を参照してください。

データ保護の目的で、 認証情報を保護し AWS アカウント 、 AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。こうすると、それぞれのジョブを遂行するために必要なアクセス許可のみを各ユーザーに付与できます。また、以下の方法でデータを保護することをお勧めします。

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2、できれば TLS 1.3 が必要です。

  • で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。

  • AWS 暗号化ソリューションを、 内のすべてのデフォルトのセキュリティコントロールとともに使用します AWS のサービス。

  • Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2」を参照してください。

お客様の E メールアドレスなどの機密情報やセンシティブ情報は、タグや名前フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソールSystems Manager、API、または SDK で AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs 名前に使用する自由記述のテキストフィールドやタグに入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないように強くお勧めします。

データ暗号化

保管中の暗号化

Parameter Store パラメータ

AWS Systems Managerの一機能である Parameter Store で作成できるパラメータのタイプには、StringStringListSecureString などがあります。

SecureString パラメータ値を暗号化するために、 Parameter Storeは AWS Key Management Service () AWS KMS key の を使用しますAWS KMS。 は、カスタマーマネージドキーまたは AWS KMS を使用して AWS マネージドキー 、 AWS マネージドデータベースのパラメータ値を暗号化します。

重要

String または StringList パラメータに機密データを保存しないでください。機密データを暗号化したままにする場合は、SecureString パラメータタイプのみを使用します。

詳細については、「パラメータとは何ですか?」および「IAM ポリシーを使用して Systems Manager パラメータへのアクセスを制限する」を参照してください。

S3 バケット内のコンテンツ

Systems Manager オペレーションの一環として、1 つまたは複数の Amazon Simple Storage Service (Amazon S3) バケットにデータをアップロードまたは保存できます。

S3 バケット暗号化の詳細については、Amazon Simple Storage Service ユーザーガイドの「暗号化を使用したデータの保護」および「Amazon S3 におけるデータ保護」を参照してください。

Systems Manager アクティビティの一環として S3 バケットにアップロードまたは保存できるデータのタイプは次の通りです。

  • の一機能Run Commandである でのコマンドの出力 AWS Systems Manager

  • の一機能Distributorである のパッケージ AWS Systems Manager

  • の一機能Patch Managerである のパッチ適用オペレーションログ AWS Systems Manager

  • Patch Managerのパッチ上書きリスト

  • の一機能であるオートメーションのランブックワークフローで実行するスクリプトまたはAnsibleプレイブック AWS Systems Manager

  • Chef InSpec の一機能である Compliance のスキャンで使用する プロファイル AWS Systems Manager

  • AWS CloudTrail ログ

  • の一機能Session Managerである でのセッション履歴ログ AWS Systems Manager

  • の一機能Explorerである からのレポート AWS Systems Manager

  • OpsData の一機能である OpsCenterからの AWS Systems Manager

  • AWS CloudFormation オートメーションワークフローで使用する テンプレート

  • リソースデータ同期スキャンからのコンプライアンスデータ

  • の一機能である でState Managerマネージドノード AWS Systems Manager上の関連付けを作成または編集するリクエストの出力

  • AWS 管理対象の SSM ドキュメント AWS-RunDocument を使用して実行できる Systems Manager のカスタムドキュメント (SSM ドキュメント)

CloudWatch Logs ロググループ

Systems Manager オペレーションの一環として、1 つ以上の Amazon CloudWatch Logs ロググループにデータをストリーミングすることを選択できます。

CloudWatch Logs ロググループの暗号化の詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「 を使用してログのログデータを暗号化 AWS Key Management Serviceする」を参照してください。 CloudWatch

Systems Manager アクティビティの一環として CloudWatch Logs ロググループにストリーミングした可能性のあるデータのタイプを次に示します。

  • Run Command コマンドの出力

  • オートメーション runbook 内の aws:executeScript アクションを使用して実行されるスクリプトの出力

  • Session Manager セッションの履歴ログ

  • マネージド型ノードの SSM Agent のログ

転送中の暗号化

Transport Layer Security (TLS) のような暗号化プロトコルを使用してクライアントとユーザーノードの間で送受信される機密データを暗号化することをお勧めします。

Systems Manager では、転送中のデータの暗号化について、次のサポートが提供されます。

Systems Manager API エンドポイントへの接続

Systems Manager API エンドポイントでは、HTTPS 経由の安全な接続のみがサポートされます。 AWS Management Console、 AWS SDK、または Systems Manager API を使用してSystems Managerリソースを管理する場合、すべての通信は Transport Layer Security (TLS) で暗号化されます。API エンドポイントの完全なリストについては、「Amazon Web Services 全般のリファレンス」の「AWS のサービス エンドポイント」を参照してください。

マネージドインスタンス

AWS は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス間の安全でプライベートな接続を提供します。また、同じ Virtual Private Cloud (VPC) 内やピア接続された VPC 内のサポートされているインスタンス間で転送中のトラフィックを自動的に暗号化します。これには、256 ビット暗号化の AEAD アルゴリズムを使用します。この暗号化機能は、基盤となるハードウェアのオフロード機能を使用し、ネットワークパフォーマンスには影響を及ぼしません。サポートされているインスタンスは、C5n、G4、I3en、M5dn、M5n、P3dn、R5dn、R5n です。

Session Manager セッション

デフォルトでは、Session Manager は、TLS 1.2 を使用して、アカウント内のユーザーのローカルマシンと EC2 インスタンス間で送信されるセッションのデータを暗号化します。で AWS KMS key 作成された を使用して、転送中のデータをさらに暗号化することもできます AWS KMS。 AWS KMS 暗号化はStandard_Stream、、InteractiveCommands、および NonInteractiveCommandsセッションタイプで使用できます。

Run Command アクセス

デフォルトで、Run Command を使用してノードへのリモートアクセスは、TLS 1.2 を使用して暗号化され、接続確立のリクエストは SigV4 を使用して署名されます。

インターネットトラフィックのプライバシー

Amazon Virtual Private Cloud (Amazon VPC) を使用して、マネージドノード内のリソース間に境界を作成し、それらの間のトラフィック、オンプレミス ネットワーク、インターネットを制御できます。詳細については、「VPC エンドポイントの作成」を参照してください。

Amazon Virtual Private Cloud セキュリティの詳細については、Amazon VPC ユーザーガイドの「Amazon VPC でのインターネットワークトラフィックのプライバシー」を参照してください。