翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon DocumentDB のセキュリティベストプラクティス
セキュリティのベストプラクティスとして、Amazon DocumentDB API 操作、特に、Amazon DocumentDB リソースを作成、変更、削除する操作へのアクセスを制御するために AWS Identity and Access Management(IAM) アカウントを使用する必要があります。そのようなリソースには、クラスター、セキュリティグループ、およびパラメータグループなどがあります。また、IAMを使用して、クラスターのバックアップや復元など、一般的な管理操作を実行するアクションも制御します。IAM ロールを作成する際には、最小特権の原則を採択します。
-
ロールベースのアクセスコントロールを使用して、最小特権を適用します。
-
Amazon DocumentDB のリソースを管理する各ユーザーにそれぞれ IAM アカウントを割り当てます。Amazon DocumentDB のリソースの管理には AWS アカウント ルートユーザーを使用しません。お客様を含めて全員に IAM ユーザーを作成します。
-
それぞれの職務の実行に最低限必要になる一連のアクセス許可を各 ユーザーに付与します。
-
IAM グループを使用して、複数のユーザーのアクセス許可を効果的に管理します。IAM の詳細については、IAM ユーザーガイドを参照してください。IAM のベストプラクティスの詳細については、「IAM のベストプラクティス」を参照してください。
-
IAM 認証情報のローテーションを定期的に行います。
-
Amazon DocumentDB のシークレットを自動的にローテーションするように AWS Secrets Manager を設定します。詳細については、「AWS Secrets Manager ユーザーガイド」にある「AWS Secrets Manager シークレットのローテーション」と「Amazon DocumentDB シークレットのローテーション」を参照してください。
-
Transport Layer Security (TLS) と保管時の暗号化を使用してデータを暗号化します。
