でのデータ保護 AWS Entity Resolution - AWS Entity Resolution
の保管中のデータ暗号化 AWS Entity Resolutionキー管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのデータ保護 AWS Entity Resolution

- AWS 責任共有モデル 、 でのデータ保護に適用されます。 AWS Entity Resolution。 このモデルで説明されているように、 AWS は、すべての を実行するグローバルインフラストラクチャを保護する責任があります。 AWS クラウド。 お客様は、このインフラストラクチャでホストされているコンテンツの制御を維持する責任があります。また、 のセキュリティ設定と管理タスクについても責任を負います。 AWS のサービス 使用する 。データプライバシーの詳細については、「データプライバシーFAQ」を参照してください。欧州でのデータ保護の詳細については、「」を参照してください。 AWS の責任共有モデルとGDPRブログ記事 AWS セキュリティブログ

データ保護の目的で、 を保護することをお勧めします。 AWS アカウント 認証情報と を使用して個々のユーザーをセットアップする AWS IAM Identity Center または AWS Identity and Access Management (IAM)。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して と通信する AWS リソースの使用料金を見積もることができます。1TLS.2 が必要で、1.3 TLS をお勧めします。

  • で APIとユーザーアクティビティのログ記録を設定する AWS CloudTrail。 CloudTrail 証跡を使用してキャプチャする方法については、「」を参照してください。 AWS アクティビティ、「」の「証 CloudTrail 跡の使用」を参照してください。 AWS CloudTrail ユーザーガイド

  • 使用アイテム AWS 暗号化ソリューションと 内のすべてのデフォルトのセキュリティコントロール AWS のサービス.

  • Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

  • アクセス時に FIPS 140-3 検証済みの暗号化モジュールが必要な場合 AWS コマンドラインインターフェイスまたは を介してAPI、FIPSエンドポイントを使用します。利用可能なFIPSエンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報は、タグ、または名前フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これには、 を使用する場合も含まれます。 AWS Entity Resolution またはその他の AWS のサービス コンソール、API、 AWS CLI、または AWS SDKs。名前に使用する自由記述のテキストフィールドやタグに入力したデータは、課金や診断ログに使用される場合があります。URL を外部サーバーに提供する場合は、そのサーバーへのリクエストを検証URLするために認証情報を に含めないことを強くお勧めします。

の保管中のデータ暗号化 AWS Entity Resolution

AWS Entity Resolution はデフォルトで暗号化を提供し、 を使用して保管中の顧客の機密データを保護します。 AWS が所有する暗号化キー。

AWS 所有キー – AWS Entity Resolution は、デフォルトでこれらのキーを使用して、個人を特定できるデータを自動的に暗号化します。を表示、管理、または使用できない AWS が所有するキー、またはそれらの使用を監査します。ただし、データを暗号化するキーを保護するためにアクションを実行する必要はありません。詳細については、「」のAWS「 所有キー」を参照してください。 AWS Key Management Service デベロッパーガイド

保管中のデータをデフォルトで暗号化して、機密データの保護に伴う運用のオーバーヘッドと複雑な作業を軽減できます。同時に、これを使用して、厳格な暗号化コンプライアンスと規制要件を満たす安全なアプリケーションを構築できます。

または、一致するワークフローリソースを作成するときに、暗号化用のカスタマーマネージドKMSキーを指定することもできます。

カスタマーマネージドキー – AWS Entity Resolution は、機密データの暗号化を許可するために作成、所有、管理する対称カスタマーマネージドKMSキーの使用をサポートします。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。

  • キーポリシーの策定と維持

  • IAM ポリシーと許可の確立と維持

  • キーポリシーの有効化と無効化

  • キー暗号化マテリアルのローテーション

  • タグの追加

  • キーエイリアスの作成

  • キー削除のスケジュール設定

詳細については、「」の「カスタマーマネージドキー」を参照してください。 AWS Key Management Service デベロッパーガイド

の詳細については、「」を参照してください。 AWS KMS、AWS「 Key Management Service とは」を参照してください。

キー管理

その方法は? AWS Entity Resolution で許可を使用する AWS KMS

AWS Entity Resolution には、カスタマーマネージドキーを使用するための許可が必要です。カスタマーマネージドキーで暗号化された一致するワークフローを作成する場合、 AWS Entity Resolution は、 にCreateGrantリクエストを送信して、ユーザーに代わってグラントを作成します。 AWS KMS。 でのグラント AWS KMS は、 AWS Entity Resolution カスタマーアカウントのKMSキーへのアクセス。 AWS Entity Resolution では、次の内部オペレーションでカスタマーマネージドキーを使用するには、グラントが必要です。

  • へのGenerateDataKeyリクエストの送信 AWS KMS カスタマーマネージドキーで暗号化されたデータキーを生成するには、 を使用します。

  • Decrypt リクエストを に送信する AWS KMS 暗号化されたデータキーを復号して、データの暗号化に使用できるようにします。

任意のタイミングで、許可に対するアクセス権を取り消したり、カスタマーマネージドキーに対するサービスからのアクセス権を削除したりできます。その場合、 AWS Entity Resolution は、カスタマーマネージドキーによって暗号化されたデータにアクセスできず、そのデータに依存するオペレーションに影響します。例えば、グラントを通じてキーへのサービスアクセスを削除し、カスタマーキーで暗号化された一致するワークフローのジョブを開始しようとすると、オペレーションはAccessDeniedExceptionエラーを返します。

カスタマーマネージドキーの作成

を使用して、対称カスタマーマネージドキーを作成できます。 AWS Management Console、または AWS KMS APIs.

対称カスタマーマネージドキーを作成するには

AWS Entity Resolution は、対称暗号化KMSキー を使用した暗号化をサポートします。「」の「対称カスタマーマネージドキーの作成」の手順に従います。 AWS Key Management Service デベロッパーガイド

キーポリシーステートメント

キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマーマネージドキーを作成する際に、キーポリシーを指定することができます。詳細については、「」の「カスタマーマネージドキーへのアクセスの管理」を参照してください。 AWS Key Management Service デベロッパーガイド

でカスタマーマネージドキーを使用するには AWS Entity Resolution リソースでは、キーポリシーで次のAPIオペレーションを許可する必要があります。

  • kms:DescribeKey – キー ARN、作成日 (および該当する場合は削除日)、キーの状態、キーマテリアルのオリジンと有効期限 (存在する場合) などの情報を提供します。これには、さまざまなタイプのKMSキーを区別するのに役立つ KeySpecなどのフィールドが含まれています。また、キーの使用状況 (暗号化、署名、または の生成と検証MACs) と、KMSキーがサポートするアルゴリズムも表示されます。 AWS Entity Resolution は、 KeySpecSYMMETRIC_DEFAULTで、 KeyUsageが であることを検証しますENCRYPT_DECRYPT

  • kms:CreateGrant - カスタマーマネージドキーに許可を追加します。指定されたKMSキーへのアクセスを制御する権限を付与します。これにより、権限付与オペレーションへのアクセスを許可します。 AWS Entity Resolution には が必要です。Grants の使用の詳細については、「」を参照してください。 AWS Key Management Service デベロッパーガイド

これにより、 AWS Entity Resolution は、以下を実行します。

  • GenerateDataKey を呼び出して、暗号化されたデータキーを生成して保存します。データキーは暗号化にすぐには使用されないからです。

  • Decrypt を呼び出して、保存された暗号化データキーを使用して暗号化データにアクセスします。

  • RetireGrant へのサービスを許可するために、削除プリンシパルを設定します。

以下は、 に追加できるポリシーステートメントの例です。 AWS Entity Resolution:

{
      "Sid" : "Allow access to principals authorized to use AWS Entity Resolution",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : ["kms:DescribeKey","kms:CreateGrant"],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "entityresolution.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
      }
}

ユーザーのアクセス許可

KMS キーを暗号化のデフォルトキーとして設定すると、デフォルトのKMSキーポリシーにより、必要なKMSアクションにアクセスできるすべてのユーザーがこのKMSキーを使用してリソースを暗号化または復号できるようになります。カスタマーマネージドKMSキー暗号化を使用するには、次のアクションを呼び出すアクセス許可をユーザーに付与する必要があります。

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

CreateMatchingWorkflow リクエスト中、 AWS Entity Resolution は DescribeKeyCreateGrantリクエストを に送信します。 AWS KMS ユーザーに代わって。これには、カスタマーマネージドKMSキーを使用してCreateMatchingWorkflowリクエストを行うIAMエンティティが、KMSキーポリシーに対するkms:DescribeKeyアクセス許可を持っている必要があります。

CreateIdMappingWorkflow および StartIdMappingJobリクエスト中、 AWS Entity Resolution は DescribeKeyCreateGrantリクエストを に送信します。 AWS KMS ユーザーに代わって。これには、 CreateIdMappingWorkflowおよび をカスタマーマネージドKMSキーでStartIdMappingJobリクエストするIAMエンティティが、KMSキーポリシーに対するkms:DescribeKeyアクセス許可を持っている必要があります。プロバイダーはカスタマーマネージドキーにアクセスして、 内のデータを復号化できます。 AWS Entity Resolution Amazon S3 バケット。

以下は、プロバイダーが 内のデータを復号化するために追加できるポリシーステートメントの例です。 AWS Entity Resolution Amazon S3 バケット:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::715724997226:root" 
        },
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "<KMSKeyARN>",
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "s3.amazonaws.com"
            }
        }
    }]
}

各 を置き換える <user input placeholder> 自分の情報を入力します。

<KMSKeyARN> AWS KMS Amazon リソースネーム。

同様に、 を呼び出すIAMエンティティには、一致するワークフローで提供されるカスタマーマネージドKMSキーに対する kms:Decryptおよび アクセスkms:GenerateDataKey許可StartMatchingJobAPIが必要です。

ポリシー でのアクセス許可の指定の詳細については、「」を参照してください。 AWS Key Management Service デベロッパーガイド

キーアクセスのトラブルシューティングの詳細については、「」を参照してください。 AWS Key Management Service デベロッパーガイド

のカスタマーマネージドキーの指定 AWS Entity Resolution

カスタマーマネージドキーは、以下のリソースの第 2 レイヤー暗号化として指定できます。

ワークフローの一致 – 一致するワークフローリソースを作成するときに、 を入力してデータキーを指定できますKMSArn。 AWS Entity Resolution は を使用して、リソースに保存されている識別可能な個人データを暗号化します。

KMSArn – のキー識別子ARNであるキー を入力します。 https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id AWS KMS カスタマーマネージドキー。

2 つの で ID マッピングワークフローを作成または実行している場合、カスタマーマネージドキーを次のリソースの 2 番目のレイヤー暗号化として指定できます。 AWS アカウント:

ID マッピングワークフローまたは ID マッピングワークフローの開始 – ID マッピングワークフローリソースを作成するか、ID マッピングワークフロージョブを開始するときは、 を入力してデータキーを指定できますKMSArn。 AWS Entity Resolution は を使用して、リソースに保存されている識別可能な個人データを暗号化します。

KMSArn – のキー識別子ARNであるキー を入力します。 https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id AWS KMS カスタマーマネージドキー。

の暗号化キーのモニタリング AWS Entity Resolution サービス

を使用する場合 AWS KMS での カスタマーマネージドキー AWS Entity Resolution サービスリソース、 AWS CloudTrailまたは Amazon CloudWatch Logs を使用して、 のリクエストを追跡できます。 AWS Entity Resolution が に送信する AWS KMS.

以下の例を示します。 AWS CloudTrail DescribeKey モニタリングする CreateGrantGenerateDataKeyDecrypt、および の イベント AWS KMS によって呼び出される オペレーション AWS Entity Resolution カスタマーマネージドキーで暗号化されたデータにアクセスするには、次のようにします。

CreateGrant

を使用する場合 AWS KMS 一致するワークフローリソースを暗号化するための カスタマーマネージドキー、 AWS Entity Resolution は、ユーザーに代わって のKMSキーにアクセスするためのCreateGrantリクエストを送信します。 AWS アカウント。 以下の許可 AWS Entity Resolution 作成は、 に関連付けられたリソースに固有です。 AWS KMS カスタマーマネージドキー。さらに、 AWS Entity Resolution は、リソースを削除するときに RetireGrantオペレーションを使用して許可を削除します。

以下のイベント例では CreateGrant オペレーションを記録しています。


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "entityresolution.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "entityresolution.region.amazonaws.com",
        "operations": [
            "GenerateDataKey",
            "Decrypt",
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "granteePrincipal": "entityresolution.region.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

DescribeKey

AWS Entity Resolution は DescribeKeyオペレーションを使用して、 AWS KMS 一致するリソースに関連付けられた カスタマーマネージドキーは、アカウントとリージョンに存在します。

次のイベント例では、 DescribeKeyオペレーションを記録します。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "entityresolution.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

GenerateDataKey

を有効にする場合 AWS KMS 一致するワークフローリソースの カスタマーマネージドキー、 AWS Entity Resolution は、Amazon Simple Storage Service (Amazon S3) を介して にGenerateDataKeyリクエストを送信します。 AWS KMS を指定する AWS KMS リソースの カスタマーマネージドキー。

次のイベント例では、 GenerateDataKeyオペレーションを記録します。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "s3.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}

Decrypt

を有効にする場合 AWS KMS 一致するワークフローリソースの カスタマーマネージドキー、 AWS Entity Resolution は、Amazon Simple Storage Service (Amazon S3) を介して にDecryptリクエストを送信します。 AWS KMS を指定する AWS KMS リソースの カスタマーマネージドキー。

次のイベント例では、 Decryptオペレーションを記録します。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "s3.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:10:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}

考慮事項

AWS Entity Resolution は、新しいカスタマーマネージドKMSキーを使用したマッチングワークフローの更新をサポートしていません。このような場合は、カスタマーマネージドKMSキーを使用して新しいワークフローを作成できます。

詳細

次のリソースは、保管時のデータ暗号化についての詳細を説明しています。

AWS Key Management Service の基本概念 の詳細については、「」を参照してください。 AWS Key Management Service デベロッパーガイド

AWS Key Management Service のセキュリティのベストプラクティスの詳細については、「」を参照してください。 AWS Key Management Service デベロッパーガイド