# 自社のオペレーターからデータを分離する
<a name="isolate-data-operators"></a>

AWS Nitro System には、[ゼロオペレーターがアクセス](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/no-aws-operator-access.html)があります。AWS システムまたはユーザーが Amazon EC2 Nitro ホストにログインしたり、EC2 インスタンスのメモリにアクセスしたり、ローカルの暗号化されたインスタンスストレージまたはリモートの暗号化された Amazon EBS ボリュームに保存されている顧客データにアクセスしたりするためのメカニズムはありません。

高度の機密データを処理するときは、自社のオペレーターでも EC2 インスタンスにアクセスできないようにして、そのデータへのアクセスを制限することを検討してください。

分離されたコンピューティング環境を提供するように設定されたカスタム構成証明可能 AMI を作成できます。AMI の設定は、ワークロードとアプリケーションの要件によって異なります。AMI を構築して分離されたコンピューティング環境を作成するときは、以下のベストプラクティスを考慮してください。
+ オペレーターまたはユーザーがインスタンスにアクセスできないように、**すべてのインタラクティブアクセスを削除**します。
+ **信頼できるソフトウェアとコードのみ**が AMI に含まれているようにします。
+ アクセスをブロックするようにインスタンス内の**ネットワークファイアウォールを設定**します。
+ すべてのストレージおよびファイルシステムを**読み取り専用かつイミュータブルな状態**にします。
+ 認証され、認可され、ログに記録された API コールに**インスタンスへのアクセスを制限**します。

# インタラクティブアクセスを持たない構成証明可能 AMI の更新
<a name="working-with-isolated-amis"></a>

分離されたコンピューティング環境 AMI を使用してインスタンスを起動すると、ユーザーやオペレーターがインスタンスに接続できなくなります。つまり、起動後にインスタンスにソフトウェアをインストールまたは更新する方法はありません。

新しいソフトウェアまたはソフトウェア更新が必要な場合は、必要なソフトウェアまたはソフトウェア更新を含む新しい構成証明可能 AMI を作成する必要があります。次に、その AMI を使用して新しいインスタンスを起動するか、元のインスタンスでルートボリュームの置換を実行します。AMI にソフトウェアの変更が適用されると、新しいハッシュが生成されます。

次のアクションを実行すると、NitroTPM アテステーションドキュメントのリファレンス測定値が変更されます。
+ 構成証明可能 AMI で起動されたインスタンスの停止と起動
+ 別の AMI でルートボリュームの置換を実行する

これらのアクションを実行する場合は、新しいリファレンス測定値でアテステーションサービスを更新する必要があります。例えば、アテステーションに AWS KMS を使用している場合は、KMS キーポリシーを新しいリファレンス測定値に更新する必要があります。

インスタンスは、インスタンスライフサイクル全体で NitroTPM キーマテリアルを保持し、停止/起動およびルートボリューム置換オペレーションを通じて保持します。