

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# セキュリティおよびアクセス許可
<a name="security"></a>

のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。

セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。

**クラウドのセキュリティ:** AWS AWS クラウドで AWS サービスを実行するインフラストラクチャを保護する責任は にあります。 AWS また、 では、安全に使用できるサービスも提供しています。サードパーティーの監査人は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/) の一環として、セキュリティの有効性を定期的にテストおよび検証します。 AWS コスト管理に適用されるコンプライアンスプログラムの詳細については、[AWS 「コンプライアンスプログラムによる対象範囲内のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。

**クラウドのセキュリティ:** お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。このドキュメントは、請求情報とコスト管理を使用する際に共有責任モデルを適用する方法を理解するのに役立ちます 以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために請求情報とコスト管理を設定する方法を示します。また、請求情報とコスト管理リソースのモニタリングや保護に役立つ他の AWS のサービスの使用方法についても説明します。

**Topics**
+ [データエクスポートの Identity and Access Management](bcm-data-exports-access.md)
+ [データエクスポートにおけるデータ保護](data-protection.md)

# データエクスポートの Identity and Access Management
<a name="bcm-data-exports-access"></a>

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御するのに役立つ AWS サービスです。IAM 管理者は、誰を*認証* (サインイン) し、誰に課金リソースの使用を*許可* (許可を持たせる) するかを制御します。IAM は、追加料金なしで使用できる AWS サービスです。

データエクスポートを使用するには、IAM の `bcm-data-exports namespace` のアクションに対するアクセス権を IAM ユーザーに付与する必要があります。使用可能なアクションについては、次の表を参照してください。


****  

| データエクスポートアクション | 説明 | アクセスレベル | リソースタイプ: | 条件キー | 
| --- | --- | --- | --- | --- | 
| CreateExport | ユーザーがエクスポートを作成できるようにし、クエリ、配信設定、スケジュール設定、コンテンツ設定を指定します。 | 書き込み |  エクスポート テーブル  |  aws:RequestTag/\$1\$1TagKey\$1 aws:TagKeys  | 
| UpdateExport | ユーザーが既存のエクスポートを更新できるようにします。 | 書き込み |  エクスポート テーブル  |  aws:ResourceTag/\$1\$1TagKey\$1  | 
| DeleteExport | ユーザーが既存のエクスポートを削除できるようにします。 | 書き込み |  エクスポート  |  aws:ResourceTag/\$1\$1TagKey\$1  | 
| GetExport | ユーザーが既存のエクスポートを表示できるようにします。 | 読み取り |  エクスポート  |  aws:ResourceTag/\$1\$1TagKey\$1  | 
| ListExports | ユーザーが既存のエクスポートをすべて一覧表示できるようにします。 | 読み取り |  |  | 
| GetExecution | エクスポートされたデータのメタデータやスキーマなど、指定された実行の詳細をユーザーが確認できるようにします。 | 読み取り |  エクスポート  |  aws:ResourceTag/\$1\$1TagKey\$1  | 
| ListExecutions | ユーザーが、提供されたエクスポート識別子の実行をすべて一覧表示できるようにします。 | 読み取り |  エクスポート  |  aws:ResourceTag/\$1\$1TagKey\$1  | 
| GetTable | ユーザーが指定されたテーブルのスキーマを取得できるようにします。 | 読み取り |  テーブル  |  | 
| ListTables | 使用可能なすべてのテーブルをユーザーが一覧表示できるようにします。 | 読み取り |  |  | 
| TagResource | ユーザーが既存のエクスポートにタグ付けできるようにします。 | 書き込み |  エクスポート  |  aws:ResourceTag/\$1\$1TagKey\$1 aws:RequestTag/\$1\$1TagKey\$1 aws:TagKeys  | 
| UntagResource | ユーザーが既存のエクスポートのタグを解除できるようにします。 | 書き込み |  エクスポート  |  aws:ResourceTag/\$1\$1TagKey\$1 aws:TagKeys  | 
| ListTagsForResource | ユーザーが既存のエクスポートに関連付けられているタグを一覧表示できるようにします。 | 読み取り |  エクスポート  |  aws:ResourceTag/\$1\$1TagKey\$1  | 

これらのコンテキストキーの使用方法についての詳細は、「IAM ユーザーガイド**」の「[タグを使用した AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。

次の表は、データエクスポートで利用可能なリソースタイプを示しています。


****  

| リソースタイプ | 説明 | ARN | 
| --- | --- | --- | 
| エクスポート | エクスポートは CreateExport API によって作成されたリソースです。エクスポートにより、請求情報とコスト管理のクエリ出力が定期的に生成されます。 | arn:\$1\$1Partition\$1:bcm-data-exports:\$1\$1Region\$1:\$1\$1Account\$1:export/\$1\$1exportName\$1-\$1UUID\$1 | 
| テーブル | テーブルは、ユーザーがエクスポートを使用してクエリを実行する、行と列形式のデータです。テーブルは、お客様の AWS ために によって作成および管理されます。お客様はテーブルを削除することができません。 | arn:\$1\$1Partition\$1:bcm-data-exports:\$1\$1Region\$1:\$1\$1Account\$1:table/\$1\$1TableName\$1 | 

COST\$1AND\$1USAGE\$1REPORT または COST\$1AND\$1USAGE\$1DASHBOARD テーブルリソースのエクスポートをデータエクスポートで作成するには、IAM ユーザーが IAM 内のそれぞれの `cur` アクションに対するアクセス許可も持っている必要があります。つまり、`cur` での明示的な許可がないことや、`cur` に対する明示的な拒否を提供するサービスコントロールポリシー (SCP) がないなど、何らかの理由で IAM ユーザーが `cur` アクションの使用をブロックされた場合、その IAM ユーザーは、これら 2 つのテーブルのエクスポートの作成または更新をブロックされます。

次の表は、これら 2 つのテーブルのデータエクスポートで、どの `cur` アクションに対してどの `bcm-data-exports` アクションが必要かを示しています。


****  

| データエクスポートアクション | テーブルリソース | IAM で必要なその他のアクション | 
| --- | --- | --- | 
| bcm-data-exports:CreateExport |  COST\$1AND\$1USAGE\$1REPORT COST\$1AND\$1USAGE\$1DASHBOARD  | cur:PutReportDefinition | 

## ポリシーの例
<a name="bcm-data-exports-access-examples"></a>

IAM ユーザーがデータエクスポートの CUR 2.0 エクスポートにフルアクセスできるようにします。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewDataExportsTablesAndExports",
            "Effect": "Allow",
            "Action": [
                "bcm-data-exports:ListTables",
                "bcm-data-exports:ListExports",
                "bcm-data-exports:GetExport"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateCurExports",
            "Effect": "Allow",
            "Action": "bcm-data-exports:*",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
                "arn:aws:bcm-data-exports:*:*:export/*"
                ]
        },
        {
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action":  "cur:PutReportDefinition",
            "Resource": "*"
         }
    ]
}
```

------

請求情報とコスト管理のデータエクスポートを使用するためのアクセスコントロールと IAM アクセス許可の詳細については、「[アクセス許可の管理の概要](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html)」を参照してください。

### 見積り CUR 2.0 AWS を作成する
<a name="bcm-data-exports-access-examples-2"></a>

プロフォーマ CUR 2.0 を作成するには、次の IAM ポリシーを含める必要があります。

IAM ユーザーに CUR 2.0 および Billing Group Billing View へのフルアクセスを許可します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateCur20AnyBillingView",
            "Effect": "Allow",
            "Action": "bcm-data-exports:CreateExport",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
                "arn:aws:bcm-data-exports:*:*:export/*",
                "arn:aws:billing::*:billingview/*"
            ]
        },{
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action": "cur:PutReportDefinition",
            "Resource": "*"
        }
    ]
}
```

------

IAM ロールが特定の請求グループにアクセスできるようにする場合は、ロールがアクセスできる Billing View ARN を追加できます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateSpecificBillingViewCur20",
            "Effect": "Allow",
            "Action": "bcm-data-exports:CreateExport",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT", 
                "arn:aws:bcm-data-exports:*:*:export/*", 
                "arn:aws:billing::444455556666:billingview/billing-group-111122223333"
        ]
        },{
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action": "cur:PutReportDefinition",
            "Resource": "*"
        }
    ]
}
```

------

# データエクスポートにおけるデータ保護
<a name="data-protection"></a>

データエクスポートでのデータ保護に 責任 AWS 共有モデルがどのように適用されるかについて説明します。

## S3 セキュリティのベストプラクティス
<a name="s3-security-best-practices"></a>

データエクスポートは、請求情報とコスト管理データを Amazon S3 バケットに配信します。S3 バケットが安全であることを確認するために実行できる手順は多数あります。詳細については、「Amazon S3 ユーザーガイド**」の「[Amazon S3 のセキュリティのベストプラクティス](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)」を参照してください。

## S3 でのデータ暗号化
<a name="s3-data-encryption"></a>

デフォルトでは、データエクスポートは、Amazon S3 マネージドキー (SSE-S3) によるサーバー側の暗号化を使用して暗号化されます。Amazon キー管理サービス (KMS) 暗号化 (SSE-KMS) を使用してエクスポートを暗号化する場合は、エクスポートの配信後に KMS による暗号化をトリガーする必要があります。詳細については、「Amazon S3 ユーザーガイド**」の「[Amazon S3 バケット向けのサーバー側のデフォルトの暗号化動作の設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)」を参照してください。