翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon AppStream 2.0 におけるデータ保護
Amazon AppStream 2.0 のデータ保護には、AWS [責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)が適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャの保護に責任を持ちます。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。このコンテンツには、使用される AWS のサービス のセキュリティ設定と管理タスクが含まれます。データプライバシーの詳細については、[データプライバシーのよくある質問](https://aws.amazon.com/compliance/data-privacy-faq)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された [AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) のブログ記事を参照してください。
データを保護するため、AWS アカウント の認証情報を保護し、AWS Identity and Access Management (IAM) で個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して 「AWS」 リソースと通信します。TLS 1.2 をお勧めします。
+ AWS CloudTrail で API とユーザーアクティビティログをセットアップします。
+ AWS 暗号化ソリューションを AWS のサービス内のすべてのデフォルトのセキュリティ管理と一緒に使用します。
+ Amazon Macie などのアドバンストマネージドセキュリティサービスを使用します。これは、Amazon S3 に保存されている個人データの検出と保護を支援します。
+ コマンドラインインターフェースまたは API を使用して AWS にアクセスするときに FIPS 140−2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、[連邦情報処理規格 (FIPS) 140-2](https://aws.amazon.com/compliance/fips/)を参照してください。
顧客の E メールアドレスなど、機密性がある繊細な情報は、タグや [**名前**] フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK から、AppStream 2.0 または他の AWS サービスを使用する場合も同様です。タグまたは名前に使用する自由記入欄に入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへ URL を供給する場合は、そのサーバーへのリクエストを検証するために、認証情報を URL に含めないことを強くお勧めします。
**Topics**
+ [保管時の暗号化](encryption-rest.md)
+ [転送時の暗号化](encryption-transit.md)
+ [管理者のコントロール](administrator-controls.md)
+ [アプリケーションアクセス](application-access.md)
# 保管時の暗号化
AppStream 2.0 フリートインスタンスは、本質的に一時的なものです。ユーザーのストリーミングセッションが終了すると、基礎となるインスタンスとそれに関連付けられた Amazon Elastic Block Store (Amazon EBS) ボリュームが終了します。また、AppStream 2.0 は鮮度のために未使用のインスタンスを定期的にリサイクルします。
ユーザーのために、[アプリケーション設定の永続性](how-it-works-app-settings-persistence.md)または[ホームフォルダ](home-folders-admin.md)、[セッションスクリプト](enable-S3-bucket-storage-session-script-logs.md)、[使用状況レポート](enable-usage-reports.md)を有効にした場合は、ユーザーによって生成され Amazon Simple Storage バケットに保存されたデータは暗号化されます。AWS Key Management Service は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けに拡張されたキー管理システムを提供するサービスです。Amazon S3 は、[AWS マネージド CMK](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) を使用して Amazon S3 オブジェクトデータを暗号化します。
# 転送時の暗号化
次のテーブルに、転送中のデータの暗号化方法に関する情報を示します。該当する場合は、AppStream 2.0 の他のデータ保護方法もリストされます。
| データ | ネットワークパス | 保護方法 |
| --- | --- | --- |
| ウェブ資産 このトラフィックには、イメージや JavaScript ファイルなどのアセットが含まれます。 | AppStream 2.0 ユーザーと AppStream 2.0 の間で | TLS 1.2 を使用して暗号化 |
| ピクセルおよび関連するストリーミングトラフィック | AppStream 2.0 ユーザーと AppStream 2.0 の間で | 256 ビット高度暗号化規格 (AES-256) を使用して暗号化 TLS 1.2 を使用して転送 |
| API トラフィック | AppStream 2.0 ユーザーと AppStream 2.0 の間で | TLS 1.2 を使用して暗号化 接続を作成するリクエストは、SigV4 を使用して署名されます。 |
| ユーザーが生成したアプリケーション設定とホームフォルダデータ アプリケーション設定の永続性とホームフォルダが有効になっている場合に適用されます。 | AppStream 2.0 ユーザーと Amazon S3 の間で | Amazon S3 SSL エンドポイントを使用して暗号化 |
| AppStream 2.0 で管理されたトラフィック | AppStream 2.0 ストリーミングインスタンスと: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/appstream2/latest/developerguide/encryption-transit.html) | TLS 1.2 を使用して暗号化 接続を作成するリクエストは、該当する場合は SigV4 を使用して署名されます。 |
# 管理者のコントロール
AppStream 2.0 には、ローカルコンピュータと AppStream 2.0 フリートインスタンス間でユーザーがデータを転送する方法を制限するために使用できる管理コントロールが用意されています。[AppStream 2.0 スタックの作成または更新時](set-up-stacks-fleets-install.md)に、次の項目を制限または無効にできます。
+ クリップボード/コピーと貼り付けアクション
+ ファイルのアップロードとダウンロード (フォルダとドライブのリダイレクトを含む)
+ 印刷
AppStream 2.0 イメージを作成するときに、Windows 用 AppStream 2.0 クライアントから AppStream 2.0 フリートインスタンスにリダイレクトできる USB デバイスを指定できます。指定する USB デバイスは、ユーザーの AppStream 2.0 ストリーミングセッション中に使用できます。詳細については、「[ストリーミングアプリケーションで使用する USB デバイスを認証する](qualify-usb-devices.md)」を参照してください。
# アプリケーションアクセス
デフォルトでは、AppStream 2.0 はイメージで指定するアプリケーションが、Image Builder およびフリートインスタンス上の他のアプリケーションと実行可能ファイルを起動できるようにします。これにより、他のアプリケーションに依存するアプリケーション (たとえば、ブラウザを起動して製品のウェブサイトに移動するアプリケーション) が想定どおりに機能します。管理コントロール、セキュリティグループ、およびその他のセキュリティソフトウェアを設定して、リソースにアクセスし、ローカルコンピュータとフリートインスタンス間でデータを転送するために必要な最小限のアクセス許可をユーザーに付与します。
[Microsoft AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview) などのアプリケーション制御ソフトウェアおよびポリシーを使用して、ユーザーが実行できるアプリケーションとファイルを制御できます。アプリケーション制御ソフトウェアとポリシーは、ユーザーが AppStream 2.0 Image Builder とフリートインスタンスで実行できる実行可能ファイル、スクリプト、Windows インストーラーファイル、ダイナミックリンクライブラリ、およびアプリケーションパッケージを制御するのに役立ちます。
**注記**
AppStream 2.0 エージェントソフトウェアは、Windows コマンドプロンプトと Windows Powershell に依存して、ストリーミングインスタンスをプロビジョニングします。ユーザーが Windows コマンドプロンプトまたは Windows Powershell を起動できないように選択する場合は、Windows NT AUTHORITY\$1SYSTEM または管理者グループのユーザーにはポリシーを適用しないでください。
| ルールタイプ | アクション | Windows ユーザーまたはグループ | 名前/パス | 条件 | 説明 |
| --- | --- | --- | --- | --- | --- |
| 実行可能ファイル | 許可 | NT AUTHORITY\$1System | \$1 | パス | AppStream 2.0 エージェントソフトウェアに必要 |
| 実行可能ファイル | 許可 | BUILTIN\$1Administrators | \$1 | パス | AppStream 2.0 エージェントソフトウェアに必要 |
| 実行可能ファイル | 許可 | 全員 | %PROGRAMFILES%\$1nodejs\$1\$1 | パス | AppStream 2.0 エージェントソフトウェアに必要 |
| 実行可能ファイル | 許可 | 全員 | %PROGRAMFILES%\$1NICE\$1\$1 | パス | AppStream 2.0 エージェントソフトウェアに必要 |
| 実行可能ファイル | 許可 | 全員 | %PROGRAMFILES%\$1Amazon\$1\$1 | パス | AppStream 2.0 エージェントソフトウェアに必要 |
| 実行可能ファイル | 許可 | 全員 | %PROGRAMFILES%\$1\$1\$1 | パス | Google ドライブや Microsoft OneDrive for Business などの永続的ストレージソリューションを使用する場合、AppStream 2.0 エージェントソフトウェアに必要です。この例外は、AppStream 2.0 ホームフォルダを使用する場合には必要ありません。 |