AWS Systems Manager でのデータ保護 - AWS Systems Manager

AWS Systems Manager でのデータ保護

データ保護には、転送中 (Systems Manager 間でデータを送受信するとき) のデータを保護するものと、保管時 (AWS データセンター内のディスクに格納されているとき) のデータを保護するものがあります。

AWS責任共有モデルは、AWS Systems Manager でのデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護する責任を負います。ユーザーには、このインフラストラクチャでホストされているコンテンツに対する制御を維持する責任があります。このコンテンツには、使用する AWS のサービスに対するセキュリティの設定と管理タスクが含まれます。データプライバシーの詳細については、 データプライバシーのよくある質問 を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログ に投稿された「AWS 責任共有モデルおよび GDPR」のブログ記事を参照してください。

データを保護するため、AWS アカウント の認証情報を保護し、AWS Identity and Access Management (IAM)を使用して個々のユーザーアカウントをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 以降が推奨されています。

  • AWS CloudTrail で API とユーザーアクティビティログをセットアップします。

  • AWS 暗号化ソリューションを AWS のサービス内のすべてのデフォルトのセキュリティ管理と一緒に使用します。

  • Amazon Macie などのアドバンストマネージドセキュリティサービスを使用します。これは、Amazon S3 に保存されている個人データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API を使用して AWS にアクセスするときに FIPS 140−2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。使用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140−2」を参照してください。

顧客のメールアドレスなどの機密または注意を要する情報は、タグや [Name] (名前) フィールドなど自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK で Systems Manager または他の AWS のサービスを使用する場合も同様です。タグまたは名前に使用する自由記入欄に入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないように強くお勧めします。q

データ暗号化

保管時の暗号化

Parameter Store 個のパラメータ

AWS Systems Manager の一機能である Parameter Store で作成できるパラメータのタイプには、StringStringListSecureString などがあります。

SecureString パラメータ値を暗号化するため、Parameter Store は AWS Key Management Service (AWS KMS) で AWS KMS key を使用します。AWS KMS はカスタマーマネージドキーまたは AWS マネージドキー のいずれかを使用して、 AWS マネージドデータベースのパラメータ値を暗号化します。

重要

String または StringList パラメータに機密データを保存しないでください。機密データを暗号化したままにする場合は、SecureString パラメータタイプのみを使用します。

詳細については、「パラメータとは何ですか?」および「IAM ポリシーを使用して Systems Manager パラメータへのアクセスを制限する」を参照してください。

Amazon S3 バケットのコンテンツ

Systems Manager オペレーションの一環として、1 つまたは複数の Amazon Simple Storage Service (Amazon S3) バケットにデータをアップロードまたは保存できます。

S3 バケット暗号化の詳細については、Amazon Simple Storage Service ユーザーガイドの「暗号化を使用したデータの保護」および「Amazon S3 におけるデータ保護」を参照してください。

Systems Manager アクティビティの一環として S3 バケットにアップロードまたは保存できるデータのタイプは次の通りです。

  • AWS Systems Manager の一機能である Run Command のコマンドの出力

  • AWS Systems Manager の一機能である Distributor のパッケージ

  • AWS Systems Manager の一機能である Patch Manager でのパッチ適用オペレーションのログ

  • Patch Managerのパッチ上書きリスト

  • Automation の Runbook ワークフローで実行するスクリプトまたは Ansible Playbook (AWS Systems Manager の機能)

  • コンプライアンスのスキャンで使用する Chef InSpec プロファイル (AWS Systems Manager の機能)

  • AWS CloudTrail ログ

  • AWS Systems Manager の一機能である Session Manager でのセッション履歴ログ

  • AWS Systems Manager の一機能である Explorer からのレポート

  • AWS Systems Manager の一機能である OpsCenter からの OpsData

  • Automation ワークフローで使用する AWS CloudFormation テンプレート

  • リソースデータ同期スキャンからのコンプライアンスデータ

  • マネージドノードの State Manager (AWS Systems Manager の機能) の関連付けを作成または編集するリクエストの出力

  • AWS 管理対象の SSM ドキュメント AWS-RunDocument を使用して実行できる Systems Manager のカスタムドキュメント (SSM ドキュメント)

CloudWatch Logs ロググループ

Systems Manager オペレーションの一環として、1 つ以上の Amazon CloudWatch Logs ロググループにデータをストリーミングできます。

CloudWatch Logs ロググループの暗号化の詳細については、Amazon CloudWatch Logs ユーザーガイドの「AWS Key Management Service を使用した CloudWatch Logs でのログデータの暗号化」を参照してください。

アクティビティの一環として CloudWatch Logs ロググループにSystems Managerストリーミングした可能性のあるデータのタイプは次の通りです。

  • Run Command コマンドの出力

  • オートメーション runbook 内の aws:executeScript アクションを使用して実行されるスクリプトの出力

  • Session Manager セッションの履歴ログ

  • マネージド型ノードの SSM Agent のログ

転送時の暗号化

Transport Layer Security (TLS) のような暗号化プロトコルを使用してクライアントとユーザーノードの間で送受信される機密データを暗号化することをお勧めします。

Systems Manager では、転送中のデータの暗号化について、次のサポートが提供されます。

Systems Manager API エンドポイントへの接続

Systems Manager API エンドポイントでは、HTTPS 経由の安全な接続のみがサポートされます。Systems Manager リソースを AWS Management Console、AWS SDK、または Systems Manager API を使用して管理する場合、すべての通信は Transport Layer Security (TLS) で暗号化されます。API エンドポイントの完全なリストについては、Amazon Web Services 全般リファレンスの「AWS サービスエンドポイント」を参照してください。

マネージドインスタンス

AWS は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス間のセキュアでプライベートな接続を提供します。また、同じ Virtual Private Cloud (VPC) 内やピア接続された VPC 内のサポートされているインスタンス間で転送中のトラフィックを自動的に暗号化します。これには、256 ビット暗号化の AEAD アルゴリズムを使用します。この暗号化機能は、基盤となるハードウェアのオフロード機能を使用し、ネットワークパフォーマンスには影響を及ぼしません。サポートされているインスタンスは、C5n、G4、I3en、M5dn、M5n、P3dn、R5dn、R5n です。

Session Manager セッション

デフォルトでは、Session Manager は、TLS 1.2 を使用して、アカウント内のユーザーのローカルマシンと EC2 インスタンス間で送信されるセッションのデータを暗号化します。AWS KMS で作成された AWS KMS key を使用して、転送中のデータをさらに暗号化することもできます。AWS KMS 暗号化は、Standard_StreamInteractiveCommands、および NonInteractiveCommands セッションタイプで使用できます。

Run Command アクセス

デフォルトで、Run Command を使用してノードへのリモートアクセスは、TLS 1.2 を使用して暗号化され、接続確立のリクエストは SigV4 を使用して署名されます。

インターネットトラフィックのプライバシー

Amazon Virtual Private Cloud (Amazon VPC) を使用して、マネージドノード内のリソース間に境界を作成し、それらの間のトラフィック、オンプレミス ネットワーク、インターネットを制御できます。詳細は、「(オプション) 仮想プライベートクラウドエンドポイントの作成」を参照してください。

Amazon Virtual Private Cloud セキュリティの詳細については、Amazon VPC ユーザーガイドの「Amazon VPC でのインターネットワークトラフィックのプライバシー」を参照してください。