Amazon SQSのセキュリティベストプラクティス - Amazon Simple Queue Service
キューがパブリックアクセスされていないことを確認する最小特権アクセスの実装Amazon SQSアクセスを必要とするアプリケーションと AWS サービスに IAM ロールを使用する Amazon SQS サーバー側の暗号化を実装する送信時のデータの暗号化を強制するVPC エンドポイントを使用して Amazon SQSにアクセスすることを検討する場合には

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SQSのセキュリティベストプラクティス

AWS にはAmazon SQSの多くのセキュリティ機能が用意されています。これらは、独自のセキュリティポリシーのコンテキストで確認する必要があります。以下に、Amazon SQSの予防的なセキュリティに関するベストプラクティスを示します。

注記

提供される特定の実装ガイダンスは、一般的なユースケースと実装用です。特定のユースケース、アーキテクチャ、脅威モデルのコンテキストで、これらのベストプラクティスを確認することをお勧めします。

キューがパブリックアクセスされていないことを確認する

インターネット上の誰かが Amazon SQS キューを読み書きできるように明示的に要求しない限り、キューがパブリックにアクセスできない (世界中の全員または認証された AWS ユーザーがアクセス可能) ことを確認する必要があります。

  • Principal""に設定してポリシーを作成しないでください。

  • ワイルドカード (*) を使用しないでください。代わりに、特定のユーザーに名前を付けます。

最小特権アクセスの実装

アクセス許可を付与する場合、アクセス許可を受け取るユーザー、アクセス許可の対象となるキュー、およびこれらのキューに対して許可する特定の APIアクションを決定します。最小権限を実装することは、セキュリティリスクを軽減し、エラーや悪意のあるインテントの影響を軽減するために重要です。

最小特権を付与するスタンダードのセキュリティアドバイスに従ってください。つまり、特定のタスクの実行に必要なアクセス権限のみを付与します。これで、セキュリティポリシーの組み合わせを使用して実装できます。

Amazon SQSはプロデューサー-コンシューマーモデルを使用し、次の3種類のユーザーアカウントアクセスを使用します。

  • 管理者-キューの作成、変更、削除にアクセスします。管理者は、キューポリシーも制御します。

  • プロデューサー-キューへのメッセージの送信にアクセスします。

  • コンシューマー-キューからのメッセージの受信および削除にアクセスします。

詳細については、次のセクションを参照してください。

Amazon SQSアクセスを必要とするアプリケーションと AWS サービスに IAM ロールを使用する Amazon SQS

Amazon EC2 などのアプリケーションや AWS サービスが Amazon SQS キューにアクセスするには、 AWS API リクエストで有効な AWS 認証情報を使用する必要があります。これらの認証情報は自動的にローテーションされないため、 AWS 認証情報をアプリケーションまたは EC2 インスタンスに直接保存しないでください。

IAM ロールを使用して、Amazon SQSにアクセスする必要があるアプリケーションまたはサービスの一時的な認証情報を管理することをおすすめします。ロールを使用する場合、長期的な認証情報 (ユーザー名、パスワード、アクセスキーなど) を などの EC2 インスタンスまたは AWS サービスに配布する必要はありません AWS Lambda。代わりに、ロールは、アプリケーションが他の AWS リソースを呼び出すときに使用できる一時的なアクセス許可を提供します。

詳細については、「IAM ユーザーガイド」の「IAM ロール」および「ロールの一般的なシナリオ: ユーザー、アプリケーション、およびサービス」を参照してください。

サーバー側の暗号化を実装する

データ漏洩の問題を軽減するには、保存時の暗号化を使用して、メッセージを保存する場所とは別の場所に保存されているキーを使用してメッセージを暗号化します。サーバー側の暗号化(SSE)は、保存時のデータ暗号化を提供します。Amazon SQSは、データを保存するときにメッセージレベルで暗号化し、アクセスする際にメッセージを復号します。SSE は で管理されるキーを使用します AWS Key Management Service。リクエストが認証され、お客様がアクセス許可を持っていれば、キューが暗号化されているかどうかに関係なく同じ方法でアクセスできます。

詳細については、「Amazon での保管時の暗号化 SQS」および「Amazon SQS キー管理」を参照してください。

送信時のデータの暗号化を強制する

HTTPS (TLS) を使用しない場合、ネットワークベースの攻撃者は、 などの攻撃を使用して、ネットワークトラフィックを傍受または操作できます man-in-the-middle。キューポリシーの aws:SecureTransport 条件を使用して、HTTPS(TLS) 経由の暗号化された接続のみを許可し、リクエストに SSL の使用を強制します。

VPC エンドポイントを使用して Amazon SQSにアクセスすることを検討する場合には

操作できる必要があるが、インターネットに絶対に公開してはならないキューがある場合は、VPC エンドポイントを使用して、特定の VPC 内のホストへのアクセスのみをキューに入れます。キューポリシーを使用して、特定のAmazon VPC エンドポイントまたは特定のVPCからのキューへのアクセスを制御できます。

Amazon SQS VPC エンドポイントには、メッセージへのアクセスを制御するために、2通りの方法が用意されています。

  • 特定の VPC エンドポイントを通じて許可されるリクエスト、ユーザー、またはグループを管理できます。

  • キューポリシーを使用して、どのVPCまたは VPC エンドポイントがキューにアクセスできるかを制御できます。

詳細については、「Amazon 用 Amazon Virtual Private Cloud エンドポイント SQS」および「Amazon の Amazon VPCエンドポイントポリシーの作成 SQS」を参照してください。