Timestream for InfluxDB のセキュリティのベストプラクティス - Amazon Timestream
最小特権アクセスの実装IAM ロールの使用依存リソースでのサーバー側の暗号化の実装CloudTrail を使用して API コールをモニタリングするパブリックアクセシビリティ

Amazon Timestream for LiveAnalytics と同様の機能については、Amazon Timestream for InfluxDB を検討してください。リアルタイム分析のために、簡略化されたデータ取り込みと 1 桁ミリ秒のクエリ応答時間を提供します。詳細については、こちらを参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Timestream for InfluxDB のセキュリティのベストプラクティス

Amazon Timestream for InfluxDB には、独自のセキュリティポリシーを開発および実装する際に考慮すべきいくつかのセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。

最小特権アクセスの実装

アクセス許可を付与するときは、InfluxDB リソースの Timestream に対するアクセス許可を取得するユーザーを決定します。これらのリソースで許可したい特定のアクションを有効にするのも、お客様になります。このため、タスクの実行に必要なアクセス許可のみを付与する必要があります。最小特権アクセスの実装は、セキュリティリスクと、エラーや悪意によってもたらされる可能性のある影響の低減における基本になります。

IAM ロールの使用

プロデューサーアプリケーションとクライアントアプリケーションは、InfluxDB DB インスタンスの Timestream にアクセスするための有効な認証情報を持っている必要があります。 AWS 認証情報は、クライアントアプリケーションや Amazon S3 バケットに直接保存しないでください。これらは自動的にローテーションされない長期的な認証情報であり、漏洩するとビジネスに大きな影響が及ぶ場合があります。

代わりに、IAM ロールを使用して、プロデューサーおよびクライアントアプリケーションが Timestream for InfluxDB DB インスタンスにアクセスするための一時的な認証情報を管理する必要があります。ロールを使用するときは、他のリソースにアクセスするために長期的な認証情報 (ユーザー名とパスワード、またはアクセスキーなど) を使用する必要がありません。

詳細については、「IAM ユーザーガイド」にある下記のトピックを参照してください。

AWS Identity and Access Management (IAM) アカウントを使用して、Amazon Timestream for InfluxDB API オペレーション、特に Amazon Timestream for InfluxDB リソースを作成、変更、削除するオペレーションへのアクセスを制御します。このようなリソースには、DB インスタンス、セキュリティグループ、パラメータグループが含まれます。

  • Amazon Timestream for InfluxDB リソースを管理するユーザーごとに、自分自身を含む個別のユーザーを作成します。Amazon Timestream for InfluxDB リソースの管理に AWS ルート認証情報を使用しないでください。

  • それぞれの職務の実行に最低限必要になる一連のアクセス許可を各ユーザーに付与します。

  • IAM グループを使用して、複数のユーザーのアクセス許可を効果的に管理します。

  • IAM 認証情報のローテーションを定期的に行います。

  • Amazon Timestream for InfluxDB のシークレットを自動的にローテーションするように AWS Secrets Manager を設定します。 InfluxDB 詳細については、AWS 「 Secrets Manager ユーザーガイド」の「Secrets Manager シークレットのローテーション」を参照してください。 AWS また、 AWS Secrets Manager から認証情報をプログラムで取得することもできます。詳細については、Secrets Manager ユーザーガイドの「シークレット値の取得」を参照してください。 AWS

  • を使用して、InfluxDB influx API トークンの Timestream を保護しますAPI トークン

依存リソースでのサーバー側の暗号化の実装

保管中のデータと転送中のデータは、Timestream for InfluxDB で暗号化できます。詳細については、「送信中の暗号化」を参照してください。

CloudTrail を使用して API コールをモニタリングする

InfluxDB の Timestream は AWS CloudTrail、InfluxDB の Timestream でユーザー、ロール、または のサービスによって実行されたアクションを記録する AWS サービスである と統合されています。 InfluxDB

CloudTrail で収集された情報を使用して、InfluxDB の Timestream に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

詳細については、「を使用した LiveAnalytics API コールの Timestream のログ記録 AWS CloudTrail」を参照してください。

Amazon Timestream for InfluxDB はコントロールプレーンの CloudTrail イベントをサポートしていますが、データプレーンはサポートしていません。詳細については、「コントロールプレーンとデータプレーン」を参照してください。

パブリックアクセシビリティ

Amazon VPC サービスに基づき、仮想プライベートクラウド (VPC) 内で DB インスタンスを起動する場合は、そのインスタンスのパブリックアクセシビリティをオンまたはオフにすることができます。作成した DB インスタンスにパブリック IP アドレスに解決される DNS 名を含むかどうかを指定するには、Public accessibility パラメータを使用します。このパラメータを使用すると、DB インスタンスへのパブリックアクセスがあるかどうかを指定できます。

DB インスタンスが VPC 内にあるがパブリックにアクセスできない場合は、 AWS Site-to-Site VPN 接続または AWS Direct Connect 接続を使用してプライベートネットワークからアクセスすることもできます。

DB インスタンスがパブリックにアクセス可能な場合は、サービス拒否関連の脅威を防止または軽減するための対策を講じてください。詳細については、「サービス拒否攻撃の概要」および「ネットワークの保護」を参照してください。