データ保護と暗号化 - AWS Transfer Family
Transfer Family のデータ暗号化保管中の暗号化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データ保護と暗号化

責任 AWS 共有モデル、 AWS Transfer Family (Transfer Family) でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての AWS クラウドを実行するグローバルインフラストラクチャを保護する責任があります。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。このコンテンツには、使用する AWS サービスのセキュリティ設定および管理タスクが含まれます。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された「AWS 責任共有モデルおよび GDPR」ブログを参照してください。

データ保護の目的で、 AWS アカウントの認証情報を保護し、個々のユーザーアカウントを で設定することをお勧めします AWS IAM Identity Center。この方法により、それぞれのジョブを遂行するために必要な許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 がサポートされています。

  • で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。

  • AWS 暗号化ソリューションと、 AWS サービス内のすべてのデフォルトのセキュリティコントロールを使用します。

  • Amazon Macie などのアドバンストマネージドセキュリティサービスを使用します。これは、Amazon S3 に保存されている個人データの検出と保護を支援します。

  • コマンドラインインターフェースまたは API を使用して AWS にアクセスするときに FIPS 140−2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「Federal information processing standard (FIPS) 140-2」(連邦情報処理規格 (FIPS) 140-2) を参照してください。

顧客のアカウント番号などの機密の識別情報は、[Name ] (名前)フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、 AWS CLIまたは SDK を使用して Transfer Family または他の AWS サービスを使用する場合も同様です。 AWS SDKs Transfer Family または他のサービスに入力したデータはすべて、診断ログの内容として取得される可能性があります。外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。

対照的に、Transfer Family サーバーへのアップロードおよびダウンロード操作のデータは完全にプライベートなものとして扱われ、SFTPまたはFTPS接続などの暗号化されたチャネルの外には存在しません。このデータには、権限のある人だけがアクセスできます。

Transfer Family のデータ暗号化

AWS Transfer Family は、Amazon S3 バケットに設定したデフォルトの暗号化オプションを使用してデータを暗号化します。バケットで暗号化を有効にすると、バケットに保存されるすべてのオブジェクトが暗号化されます。オブジェクトは、Amazon S3 マネージドキー (SSE-S3) または AWS Key Management Service () マネージドキー (SSE-KMS AWS KMS) によるサーバー側の暗号化を使用して暗号化されます。サーバー側の暗号化の詳細については、Amazon Simple Storage Service ユーザーガイドの「サーバー側の暗号化を使用したデータの保護」を参照してください。

次の手順は、 でデータを暗号化する方法を示しています AWS Transfer Family。

で暗号化を許可するには AWS Transfer Family

  1. Amazon S3 バケットのデフォルト暗号化を有効にします。詳細については、Amazon Simple Storage Service ユーザーガイドの「S3 バケットの Amazon S3 デフォルト暗号化」を参照してください。

  2. ユーザーにアタッチされている AWS Identity and Access Management (IAM) ロールポリシーを更新して、必要な AWS Key Management Service (AWS KMS) アクセス許可を付与します。

  3. ユーザーのセッションポリシーを使用している場合、セッションポリシーは必要な AWS KMS アクセス許可を付与する必要があります。

次の例は、 AWS KMS 暗号化が有効になっている Amazon S3 バケット AWS Transfer Family で を使用する場合に必要な最小限のアクセス許可を付与する IAM ポリシーを示しています。このポリシー例は、IAM ロールポリシーおよびセッションポリシー (使用している場合) の両方に含めます。

{
   "Sid": "Stmt1544140969635",
   "Action": [
      "kms:Decrypt",
      "kms:Encrypt",
      "kms:GenerateDataKey",
      "kms:GetPublicKey",
      "kms:ListKeyPolicies"
   ],
   "Effect": "Allow",
   "Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
注記

このポリシーで指定する KMS キー ID は、ステップ 1 でデフォルト暗号化のために指定したものと同じである必要があります。

ルート、またはユーザーに使用される IAM ロールは、 AWS KMS キーポリシーで許可する必要があります。 AWS KMS キーポリシーの詳細については、 AWS Key Management Service デベロッパーガイド「KMS での AWS キーポリシーの使用」を参照してください。

AWS Transfer Family 保管時の暗号化

AWS Transfer Family はファイル転送サービスであるため、保管中のストレージデータは管理されません。 AWS Transfer Family がサポートするストレージサービスとシステムは、その状態のデータを保護する責任があります。ただし、 が保管中に管理するサービス関連のデータ AWS Transfer Family もあります。

暗号化されるもの

が保管時に AWS Transfer Family 処理する唯一のデータは、ファイル転送サーバーの運用と転送の処理に必要な詳細に関連しています。 は、Amazon DynamoDB で保管時の完全な暗号化を使用して次のデータ AWS Transfer Family を保存します。

  • サーバー設定 (サーバー設定、プロトコル設定、エンドポイントの詳細など)。

  • SSH パブリックキーとユーザーメタデータを含むユーザー認証データ。

  • ワークフロー実行の詳細とステップ設定。

  • サードパーティーシステムのコネクタ設定と認証情報。これらの認証情報は、 AWS Transfer Family マネージド暗号化キーを使用して暗号化されます。

キー管理

サーバーの実行と転送の処理に関連する情報を DynamoDB に保存するために が AWS Transfer Family 使用する暗号化キーを管理することはできません。この情報には、サーバー設定、ユーザー認証データ、ワークフローの詳細、コネクタ認証情報が含まれます。

暗号化されないのは何ですか?

AWS Transfer Family は保管時のストレージデータの暗号化方法を制御しませんが、サポートする最高レベルのセキュリティでストレージロケーションを設定することをお勧めします。たとえば、Amazon S3 マネージド暗号化キー (SSE-S3) または AWS KMS キー (SSE-KMS) を使用してオブジェクトを暗号化できます。

AWS ストレージサービスが保管中のデータを暗号化する方法について説明します。