でのデータ保護 AWS Audit Manager - AWS Audit Manager
Audit Manager のデータの削除保管中の暗号化転送中の暗号化キー管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのデータ保護 AWS Audit Manager

責任 AWS 共有モデル 、 のデータ保護に適用されます AWS Audit Manager。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。また、使用する AWS のサービス のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、「データプライバシーFAQ」を参照してください。欧州でのデータ保護の詳細については、AWS 「 責任共有モデル」とGDPRAWS 「セキュリティブログ」のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM Identity Center または AWS Identity and Access Management () を使用して個々のユーザーを設定することをお勧めしますIAM。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。1.2 が必要でTLS、1.3 TLS をお勧めします。

  • で APIとユーザーアクティビティのログ記録を設定します AWS CloudTrail。証 CloudTrail 跡を使用して AWS アクティビティをキャプチャする方法については、AWS CloudTrail 「 ユーザーガイド」の CloudTrail 「証跡の操作」を参照してください。

  • AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。

  • Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは AWS を介して にアクセスするときに FIPS 140-3 検証済みの暗号化モジュールが必要な場合はAPI、FIPSエンドポイントを使用します。利用可能なFIPSエンドポイントの詳細については、「連邦情報処理標準 (FIPS) 140-3」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報は、タグ、または名前フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これには、コンソール、、または API AWS CLIを使用して Audit Manager または他の AWS のサービス を操作する場合も含まれます AWS SDKs。名前に使用する自由記述のテキストフィールドやタグに入力したデータは、課金や診断ログに使用される場合があります。URL を外部サーバーに提供する場合は、そのサーバーへのリクエストを検証URLするために認証情報を に含めないことを強くお勧めします。

上記の推奨事項に加えて、Audit Manager のお客様には、評価、カスタムコントロール、カスタムフレームワーク、および委任コメントを作成する際に、自由形式のフィールドに機密性の高い識別情報を含めないことを特に推奨します。

Audit Manager のデータの削除

Audit Manager のデータを削除するにはいくつか方法があります。

Audit Manager を無効にする場合のデータ削除

Audit Manager を無効にする場合、Audit Manager のデータをすべて削除するかどうかを決定できます。データを削除することを選択した場合、Audit Manager を無効にしてから 7 日以内に削除されます。データを削除すると、復元することはできません。

データの自動削除

Audit Manager のデータの一部は、特定の期間が経過すると自動的に削除されます。Audit Manager は、以下のように顧客データを保持します。

データ型 データ保持期間 メモ

証拠

データは作成時から 2 年間保存されます

 自動証拠と手動証拠が含まれます

顧客が作成したリソース

データは無期限に保持されます

 評価、評価レポート、カスタムコントロール、カスタムフレームワークが含まれます
手動データ削除

個々のAudit Manager リソースはいつでも削除できます。手順については、以下を参照してください。

Audit Manager の使用時に作成した他のリソースデータを削除するには、以下を参照してください

保管中の暗号化

保管中のデータを暗号化するために、Audit Manager はすべてのデータストアとログ AWS マネージドキー に対して でサーバー側の暗号化を使用します。

選択した設定に応じて AWS 所有のキー、データはカスタマーマネージドキーまたは で暗号化されます。カスタマーマネージドキーを指定しない場合、Audit Manager は AWS 所有のキー を使用してコンテンツを暗号化します。Audit Manager の DynamoDB と Amazon S3 のすべてのサービスメタデータは、 AWS 所有のキーを使用して暗号化されます。

Audit Manager は次のようにデータを暗号化します。

  • Amazon S3 に保存されているサービスメタデータは、 で SSE- AWS 所有のキー を使用して暗号化されますKMS。

  • DynamoDB に保存されているサービスメタデータは、 KMSと を使用してサーバー側で暗号化されます AWS 所有のキー。

  • DynamoDB に保存されているコンテンツは、カスタマーマネージドキーまたは AWS 所有のキーを使用してクライアント側で暗号化されます。KMS キーは、選択した設定に基づいています。

  • Audit Manager の Amazon S3 に保存されているコンテンツは、 SSE- を使用して暗号化されますKMS。KMS キーは選択に基づいており、カスタマーマネージドキーまたは のいずれかになります AWS 所有のキー。

  • S3 バケットに発行された評価レポートは、次のように暗号化されます。

    • カスタマーマネージドキーを指定した場合、データは SSE- を使用して暗号化されますKMS。

    • を使用した場合 AWS 所有のキー、データは SSE-S3 を使用して暗号化されます。

転送中の暗号化

Audit Manager は、転送中のデータを暗号化するための安全なプライベートエンドポイントを提供します。セキュアエンドポイントとプライベートエンドポイントにより AWS 、 は Audit Manager へのAPIリクエストの整合性を保護します。

サービス間トランジット

デフォルトでは、サービス間通信はすべて Transport Layer Security (TLS) 暗号化を使用して保護されます。

キー管理

Audit Manager は AWS 所有のキー 、すべての Audit Manager リソース (アカウント内の S3 バケットに保存された評価、コントロール、フレームワーク、証拠、および評価レポート) を暗号化するための および カスタマーマネージドキーの両方をサポートしています。

カスタマーマネージドキーを使用することをお勧めします。これにより、 AWS CloudTrailでの使用のログの表示など、データを保護する暗号化キーを表示および管理できます。カスタマーマネージドキーを選択すると、Audit Manager はKMSキーに対する許可を作成して、コンテンツの暗号化に使用できます。

警告

Audit Manager リソースの暗号化に使用されるKMSキーを削除または無効にすると、そのKMSキーで暗号化されたリソースを復号できなくなります。つまり、データは回復不能になります。

AWS Key Management Service (AWS KMS) でKMSキーを削除すると、破壊的であり、潜在的に危険です。KMS キーの削除の詳細については、AWS Key Management Service 「 ユーザーガイド」の「削除 AWS KMS keys」を参照してください。

、Audit Manager AWS Management Console、または AWS Command Line Interface () を使用して Audit Manager を有効にするときにAPI、暗号化設定を指定できますAWS CLI。手順については、有効化 AWS Audit Manager を参照してください。

暗号化設定はいつでも確認および変更できます。手順については、データ暗号化設定の構成 を参照してください。

カスタマーマネージドキーの設定方法の詳細については、AWS Key Management Service ユーザーガイドの「キーの作成」を参照してください。