翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Cognito でのデータ保護
責任 AWS 共有モデル
データ保護の目的で、 AWS アカウントの認証情報を保護し、 AWS Identity and Access Management () を使用して個々のユーザーアカウントを設定することをお勧めしますIAM。この方法により、それぞれのジョブを遂行するために必要な許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。
-
各アカウントで多要素認証 (MFA) を使用します。
-
SSL/TLS を使用して AWS リソースと通信します。
-
を使用して APIとユーザーアクティビティのログ記録を設定します AWS CloudTrail。
-
AWS 暗号化ソリューションと、 サービス内のすべての AWS デフォルトのセキュリティコントロールを使用します。
-
Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これにより、Amazon S3 に保存される個人データの検出と保護が支援されます。
顧客のアカウント番号などの機密の識別情報は、[名前] フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これには、コンソール、、API AWS CLIまたは を使用して Amazon Cognito または他の AWS サービスを使用する場合も含まれます AWS SDKs。Amazon Cognito、またはその他のサービスに入力されたデータは、いずれも診断ログへの包含のために取得される可能性があります。URL を外部サーバーに提供するときは、そのサーバーへのリクエストを検証URLするために認証情報を に含めないでください。
データ暗号化
データ暗号化は、通常、保管時の暗号化と転送中の暗号化の 2 つのカテゴリに分類されます。
保管時の暗号化
Amazon Cognito 内のデータは、業界標準に従って保管時に暗号化されます。
転送時の暗号化
マネージドサービスである Amazon Cognito は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、AWS 「 クラウドセキュリティ
ネットワーク経由で Amazon Cognito にアクセスするには、 AWS 公開されたAPI呼び出しを使用します。クライアントは以下をサポートする必要があります:
-
Transport Layer Security (TLS)。1.2 が必要でTLS、1.3 TLS をお勧めします。
-
(DHEエフェメラルディフィ-ヘルマンPFS) や (エリプティックカーブエフェメラルディフィ-ヘルマン) など、完全なフォワードシークレット ECDHE () を持つ暗号スイート。これらのモードは、Java 7 以降など、ほとんどの最新システムでサポートされています。
さらに、リクエストは、アクセスキー ID とプリンシIAMパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時セキュリティ認証情報を生成し、リクエストに署名することもできます。
Amazon Cognito ユーザープールと ID プールには、IAM認証済み、未認証、トークン認証APIオペレーションがあります。認証されていないAPIオペレーションとトークン認証オペレーションは、アプリケーションのエンドユーザーであるお客様による使用を目的としています。認証されていないオペレーションとトークン認証されたAPIオペレーションは、保管中および転送中に暗号化されます。詳細については、「Amazon Cognito ユーザープールの認証済みおよび未認証APIオペレーション」を参照してください。
注記
Amazon Cognito は、コンテンツを内部で暗号化します。お客様提供のキーはサポートしていません。
