データ暗号化 - AWS Cloud9

新規のお客様への AWS Cloud9 の提供は終了しました。AWS Cloud9 の既存のお客様は、通常どおりサービスを引き続き使用できます。詳細はこちら

データ暗号化

データ暗号化とは、転送中 (AWS Cloud9と AWS アカウント間を移動中) および保存中 (AWS Cloud9 設定ストアおよび AWS クラウドコンピューティングインスタンスに保存されている間) のデータを保護することです。

AWS Cloud9 のコンテキストでは、次のタイプのデータでは、暗号化による保護が必要な場合があります。

コンテンツとデータ

ユーザーが操作、収集、保存する情報。このタイプのデータの例を次に示します。

  • コードファイル

  • 添付された EC2 環境または SSH 環境の設定、アプリケーション、およびデータ

AWS Cloud9 メタデータ

AWS Cloud9 が操作、収集、保存するデータ。このタイプのデータの例を次に示します。

  • タブの状態、開いているファイル、IDE 優先などの IDE 設定

  • AWS Cloud9 環境の名前や説明などの開発環境のメタデータ

  • AWS Cloud9 サービス API とコンソールログ

  • HTTP リクエストなどのサービスログ

AWS Cloud9 は、データプレーンサービスを通じてコンテンツとデータの一部も送信します。これには、ファイル、ターミナル入力、出力テキスト、一部の IDE コマンド (ファイルの保存など) が含まれます。

保管中の暗号化

保存時の暗号化とは、保存中にデータを暗号化することで、不正なアクセスからデータを保護することです。コードファイル、パッケージ、依存関係など、AWS Cloud9 環境に保存されているお客様のデータは、常にユーザーのリソースに保存されます。お客様が Amazon EC2 環境を使用している場合、データは、AWS アカウントに存在する関連付けられた Amazon Elastic Block Store (Amazon EBS) ボリュームに保存されます。お客様が SSH 環境を使用している場合、データは Linux サーバーのローカルストレージに保存されます。

Amazon EC2 インスタンスが AWS Cloud9 開発環境のため作成される場合、暗号化されていない Amazon EBS ボリュームが作成され、そのインスタンスに添付されます。データを暗号化する場合は、暗号化された EBS ボリュームを作成し、EC2 インスタンスにアタッチする必要があります。AWS Cloud9 およびアタッチされた Amazon EBS ボリュームは、デフォルトではリージョン固有の設定である Amazon EBS デフォルト暗号化をサポートしています。詳細については、AWS Elastic Compute Cloud ユーザーガイドの「デフォルトでの暗号化」を参照してください。

環境名、環境のメンバー、IDE 設定などの AWS Cloud9 開発環境に関するメタデータは、カスタマーリソースではなく AWS によって保存されます。環境の説明や IDE 設定など、お客様固有の情報は暗号化されます。

転送中の暗号化

転送中の暗号化とは、通信エンドポイント間の移動中にデータが傍受されるのを防ぐことです。お客様のクライアントと AWS Cloud9 サービスの間で送信されるすべてのデータは、HTTPS、WSS、および暗号化された SSH を介して暗号化されます。

  • HTTPS – お客様のウェブブラウザと AWS Cloud9 サービス間のリクエストの安全性を保証します。AWS Cloud9 は、お客様のブラウザから HTTPS 経由で送信された Amazon CloudFront からアセットもロードします。

  • WSS (WebSocket Secure) –お客様のウェブブラウザと AWS Cloud9 サービス間の WebSocket を介した安全な双方向通信を可能にします。

  • 暗号化された SSH (セキュアシェル): クライアントのウェブブラウザと AWS Cloud9 サービス間のデータの安全な転送を可能にします。

HTTPS、WSS、および SSH プロトコルの使用は、AWS Cloud9 でサポートされているブラウザを使用しているかどうかによって異なります。「AWS Cloud9 のサポートされるブラウザ」を参照してください。

注記

暗号化プロトコルは、AWS Cloud9 でデフォルトで実装されています。お客様は、転送中の暗号化設定を変更することはできません。

キー管理

AWS Key Management Service (AWS KMS) は、AWS KMS keys を作成および制御するためのマネージドサービスで、お客様のデータを暗号化するために使用される暗号化キーです。AWS Cloud9 は、お客様の代わりにデータを暗号化するための暗号化キーを生成および管理します。

インターネットトラフィックのプライバシー

SSH 環境は、オンプレミスのお客様所有のコンピューティングとストレージに接続します。暗号化された SSH、HTTPS、および WSS 接続は、サービスと SSH 環境間のデータ転送をサポートします。

特定の VPC およびサブネット内で起動するように AWS Cloud9 EC2 開発環境 (Amazon EC2 インスタンスによってバックアップされる) を設定できます。Amazon Virtual Private Cloud 設定の詳細については、AWS Cloud9 開発環境の VPC 設定 を参照してください。