AWS Identity and Access Management でのデータ保護
AWS責任共有モデル
データを保護するため、AWS アカウント 認証情報を保護し、AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
-
各アカウントで多要素認証 (MFA) を使用します。
-
SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須であり TLS 1.3 がお勧めです。
-
AWS CloudTrail で API とユーザーアクティビティロギングをセットアップします。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「AWS CloudTrail ユーザーガイド」の「Working with CloudTrail trails」を参照してください。
-
AWS のサービス 内のすべてのデフォルトセキュリティ管理に加え、AWS 暗号化ソリューションを使用します。
-
Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
-
コマンドラインインターフェイスまたは API を使用して AWS にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3
」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報は、タグ、または名前フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK で IAM または他の AWS のサービス を使用する場合も同様です。名前に使用する自由記述のテキストフィールドやタグに入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を提供する場合は、そのサーバーへのリクエストを検証するための認証情報を URL に含めないように強くお勧めします。
IAM および AWS STSでのデータの暗号化
データ暗号化は、通常、保管時の暗号化と転送中の暗号化の 2 つのカテゴリに分類されます。
保管中の暗号化
IAM によって収集および保存されるデータは、保存時に暗号化されます。
-
IAM – IAM 内で収集および保存されるデータには、IP アドレス、顧客アカウントのメタデータ、およびパスワードなどの顧客識別データが含まれます。顧客アカウントメタデータと顧客識別データは、AES 256 を使用して保管時に暗号化されるか、または SHA 256 を使用してハッシュされます。
-
AWS STS – AWS STSは、サービスへの成功、誤り、および障害のリクエストを記録するサービスログを除き、お客様のコンテンツを収集しません。
転送中の暗号化
パスワードなどの顧客識別データは、転送に際して TLS 1.2 および 1.3 を使用して暗号化されます。すべての AWS STS エンドポイントは、転送中のデータを暗号化するために HTTPS をサポートしています。AWS STS エンドポイントのリストについては、「AWS STS のリージョンとエンドポイント」を参照してください。
IAM および AWS STS のキーの管理
IAM または AWS STS を使用して暗号化キーを管理することはできません。暗号化キーの詳細については、AWS Key Management Service デベロッパーガイドの「AWS KMS とは」を参照してください。
IAM および AWS STS のネットワーク間トラフィックプライバシー
IAM へのリクエストは、Transport Layer Security プロトコル (TLS) を使用して行う必要があります。VPC エンドポイントを使用して、AWS STS サービスへの接続を保護できます。詳細については、「インターフェイス VPC エンドポイント」を参照してください。
