のセキュリティのベストプラクティス AWS AppSync - AWS AppSync

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のセキュリティのベストプラクティス AWS AppSync

保護 AWS AppSync とは、いくつかのレバーをオンにしたり、ログ記録を設定したりするだけではありません。以下のセクションでは、サービスの使用方法によって異なるセキュリティのベストプラクティスについて説明します。

認証方法を理解する

AWS AppSync には、GraphQL に対してユーザーを認証する複数の方法がありますAPIs。それぞれの方法にセキュリティ、監査可能性、ユーザビリティの面でトレードオフがあります。

次の一般的な認証方法を使用できます。

  • Amazon Cognito ユーザープールを使用するとAPI、GraphQL はきめ細かなアクセスコントロールとフィルタリングにユーザー属性を使用できます。

  • API トークンの有効期間は限られており、継続的統合システムや外部 との統合などの自動システムに適していますAPIs。

  • AWS Identity and Access Management (IAM) は、 で管理される内部アプリケーションに適しています AWS アカウント。

  • OpenID Connect を使用すると、OpenID Connect プロトコルによってアクセスを制御およびフェデレーションできます。

AWS AppSyncでの認証および認可の詳細については、「GraphQL を保護するための認証と認証の設定 APIs」を参照してください。

HTTP リゾルバーTLSに使用

HTTP リゾルバーを使用する場合は、可能な限り TLSで保護された (HTTPS) 接続を使用してください。 AWS AppSync 信頼するTLS証明書の完全なリストについては、「」を参照してくださいAWS AppSync で認識される HTTPS エンドポイントの証明機関 (CA)

最小の権限を持つロールを使用する

DynamoDB リゾルバーのようなリゾルバーを使用する場合は、Amazon DynamoDB テーブルなどのリソースに対して可能な限り制限の厳しいビューを提供するロールを使用します。

IAM ポリシーのベストプラクティス

ID ベースのポリシーは、誰かがアカウント内の AWS AppSync リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

  • AWS マネージドポリシーを開始し、最小権限のアクセス許可に移行 – ユーザーとワークロードへのアクセス許可の付与を開始するには、多くの一般的なユースケースのアクセス許可を付与するAWS マネージドポリシーを使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、IAM「 ユーザーガイド」の「 管理AWS ポリシー」または ジョブ機能の 管理ポリシーを参照してください。 AWS

  • 最小権限のアクセス許可を適用する - IAMポリシーでアクセス許可を設定する場合、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法の詳細については、IAM「 ユーザーガイド」の「 のポリシーとアクセス許可IAM」を参照してください。

  • IAM ポリシーの条件を使用してアクセスをさらに制限する – ポリシーに条件を追加して、アクションとリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを を使用して送信する必要があることを指定できますSSL。などの特定の を通じてサービスアクションが使用されている場合 AWS のサービス、条件を使用してサービスアクションへのアクセスを許可することもできます AWS CloudFormation。詳細については、IAM「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。

  • IAM Access Analyzer を使用してIAMポリシーを検証し、安全で機能的なアクセス許可を確保する – IAM Access Analyzer は、ポリシーがポリシー言語 (JSON) とIAMベストプラクティスに準拠するように、新規および既存のIAMポリシーを検証します。IAM Access Analyzer には、安全で機能的なポリシーの作成に役立つ 100 を超えるポリシーチェックと実用的な推奨事項が用意されています。詳細については、IAM「 ユーザーガイド」のIAM「Access Analyzer でポリシーを検証する」を参照してください。

  • 多要素認証が必要 (MFA) – でIAMユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、 をオンにMFAしてセキュリティを強化します。API オペレーションが呼び出されるMFAタイミングを要求するには、ポリシーにMFA条件を追加します。詳細については、「 ユーザーガイド」の「 によるセキュアAPIアクセスMFA」を参照してください。 IAM

のベストプラクティスの詳細についてはIAM、「 ユーザーガイド」の「 のセキュリティのベストプラクティスIAM」を参照してください。 IAM