最小特権アクセスの実装 IAM ロールの使用依存リソースでのサーバー側の暗号化の実装 CloudTrail を使用した API コールのモニタリング

Amazon Data Firehose のセキュリティのベストプラクティスを実装する

Amazon Data Firehose には、独自のセキュリティポリシーを策定および実装する際に考慮すべきさまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。

最小特権アクセスの実装

許可を付与する場合、どのユーザーにどの Amazon Data Firehose リソースに対する許可を付与するかは、お客様が決定します。これらのリソースで許可したい特定のアクションを有効にするのも、お客様になります。このため、タスクの実行に必要なアクセス許可のみを付与する必要があります。最小特権アクセスの実装は、セキュリティリスクと、エラーや悪意によってもたらされる可能性のある影響の低減における基本になります。

IAM ロールの使用

プロデューサーおよびクライアントアプリケーションには、Firehose ストリームにアクセスするために有効な認証情報が必要です。また、Firehose ストリームには、宛先にアクセスするための有効な認証情報が必要です。 AWS 認証情報は、クライアントアプリケーションまたは Amazon S3 バケットに直接保存しないでください。これらは自動的にローテーションされない長期的な認証情報であり、漏洩するとビジネスに大きな影響が及ぶ場合があります。

代わりに、IAM ロールを使用して、Firehose ストリームにアクセスするためのプロデューサーおよびクライアントアプリケーションの一時的な認証情報を管理してください。ロールを使用するときは、他のリソースにアクセスするために長期的な認証情報 (ユーザー名とパスワード、またはアクセスキーなど) を使用する必要がありません。

詳細については、「IAM ユーザーガイド」にある下記のトピックを参照してください。

依存リソースでのサーバー側の暗号化の実装

保管中のデータと転送中のデータは Amazon Data Firehose で暗号化できます。詳細については、「Amazon Data Firehose のデータ保護」を参照してください。

CloudTrail を使用した API コールのモニタリング

Amazon Data Firehose は AWS CloudTrail、Amazon Data Firehose のユーザー、ロール、またはサービスによって実行されたアクションを記録する AWS サービスであると統合されています。

CloudTrail により収集された情報を使用して、Amazon Data Firehose に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエストが行われた日時、および追加の詳細を特定することができます。

詳細については、「AWS CloudTrail を使用して Amazon Data Firehose API コールをログ記録する」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Firehose と AWS PrivateLink の使用

Amazon Data Firehose をモニタリングする