Amazon Forecast は、新規顧客には利用できなくなりました。Amazon Forecast の既存のお客様は、通常どおりサービスを引き続き使用できます。詳細はこちら
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Forecast におけるデータ保護
Amazon Forecast でのデータ保護には、 AWS の責任共有モデル
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM Identity Center または AWS Identity and Access Management () を使用して個々のユーザーを設定することをお勧めしますIAM。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
-
各アカウントで多要素認証 (MFA) を使用します。
-
SSL/TLS を使用して AWS リソースと通信します。1TLS.2 が必要で、1.3 TLS をお勧めします。
-
で APIおよび ユーザーアクティビティのログ記録を設定します AWS CloudTrail。 CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 AWS CloudTrail ユーザーガイド」の CloudTrail 「証跡の使用」を参照してください。
-
AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
-
Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
-
コマンドラインインターフェイスまたは AWS を介して にアクセスするときに FIPS 140-3 検証済みの暗号化モジュールが必要な場合はAPI、FIPSエンドポイントを使用します。利用可能なFIPSエンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3
」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、、または を使用して Forecast または他の AWS のサービス を操作する場合も同様ですAPI AWS CLI AWS SDKs。タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。URL を外部サーバーに提供する場合は、そのサーバーへのリクエストを検証URLするために認証情報を に含めないことを強くお勧めします。
保管時の暗号化
Amazon Forecast では、CreateDataset および CreatePredictor オペレーション中に暗号化設定が提供されます。 CreateDataset オペレーションで暗号化設定が指定されている場合、 CMKおよび保管時の暗号化用のIAMロールがCreateDatasetImportJobオペレーションで使用されます。
たとえば、 CreateDataset オペレーションの EncryptionConfig ステートメント RoleArn でキーの KMSKeyArnと を指定すると、Forecast はそのロールを引き受け、 キーを使用してデータセットを暗号化します。構成が指定されていない場合、Forecast は暗号化にデフォルトのサービスキーを使用します。さらに、 CreatePredictor オペレーション EncryptionConfig の情報を指定すると、 CreatePredictorExplanability CreateForecast や などの後続のすべてのオペレーションは CreatePredictorBacktestExportJob、同じ設定を使用して保管時の暗号化を実行します。繰り返しになりますが、暗号化設定を指定しない場合、Forecast はデフォルトのサービス暗号化を使用します。
Amazon S3 バケットに保存されているデータは、デフォルトの Amazon S3 キーによって暗号化されます。独自の AWS KMS キーを使用してデータを暗号化し、Forecast にこのキーへのアクセスを許可することもできます。Amazon S3 でのデータ暗号化の詳細については、「暗号化によるデータの保護」を参照してください。独自の AWS KMS キーの管理については、「 AWS Key Management Service デベロッパーガイド」の「キーの管理」を参照してください。
転送時と処理時の暗号化
Amazon Forecast は、 AWS 証明書TLSとともに を使用して、他の AWS サービスに送信されるデータを暗号化します。他の AWS サービスとの通信は 経由で行われHTTPS、Forecast エンドポイントは 経由の安全な接続のみをサポートしますHTTPS。
Amazon Forecast は、アカウントからデータをコピーし、内部 AWS システムで処理します。データを処理する際に、Forecast は Forecast AWS KMS キーまたは指定した AWS KMS キーを使用してデータを暗号化します。
Amazon Forecast が で許可を使用する方法 AWS KMS
Amazon Forecast には、カスタマー管理キーを使用するためのグラントが必要です。
Forecast は、 CreatePredictor または CreateDatasetオペレーションEncryptionConfigの 中に渡されたIAMロールを使用してグラントを作成します。Forecast がロールを引き受け、ユーザーに代わってグラント作成操作を行います。詳細については、IAM「ロールの設定」を参照してください。
ただし、カスタマーマネージドキーで暗号化された予測子を作成すると、Amazon Forecast はCreateGrantリクエストを送信してユーザーに代わって許可を作成します AWS KMS。の許可 AWS KMS は、顧客アカウントの AWS KMS キーへのアクセスを Amazon Forecast に許可するために使用されます。
Amazon Forecast では、暗号化されたデータセットアーティファクトを読み取るために、カスタマーマネージドキーを使用して Decrypt リクエストを AWS KMS に送信できるように、許可が必要です。Forecast は、トレーニングアーティファクトを Amazon S3 に暗号化 AWS KMS するために、グラントを使用して に GenerateDataKey リクエストを送信します。
グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。これを行うと、Amazon Forecast はカスタマーマネージドキーによって暗号化されたすべてのデータにアクセスできなくなり、そのデータに依存しているオペレーションが影響を受けます。例えば、Amazon Forecast がアクセスできない暗号化された予測子に対して CreateForecast オペレーションを実行しようとすると、オペレーションは AccessDeniedException エラーを返します。
カスタマーマネージドキーを作成する
対称カスタマーマネージドキーは、 AWS Management Console または を使用して作成できます AWS KMS API。対称カスタマーマネージドキーを作成するには、AWS Key Management Service デベロッパーガイドの「対称暗号化 KMS キーの作成」のステップに従います。
キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマーマネージドキーを作成する際に、キーポリシーを指定することができます。詳細については、AWS Key Management Service デベロッパーガイド の「カスタマーマネージドキーへのアクセスの管理」を参照してください。
Amazon Forecast リソースでカスタマーマネージドキーを使用するには、キーポリシーで次のAPIオペレーションを許可する必要があります。
kms:DescribeKey – Amazon Forecast がキーを検証できるようにするカスタマーマネージドキーの詳細を提供します。
kms:CreateGrant – カスタマーマネージドキーに許可を追加します。指定された AWS KMS キーへのアクセスを制御する権限を付与します。これにより、Amazon Forecast が必要とする許可オペレーションへのアクセスを許可します。このオペレーションにより、Amazon Forecast は
GenerateDataKeyを呼び出して、暗号化されたデータキーを生成して保存します。データキーは暗号化にすぐには使用されないからです。また、この操作により Amazon Forecast がDecryptの呼び出しを行い、保存されている暗号化されたデータキーを使用して暗号化されたデータにアクセスできるようになります。kms:RetireGrant -
CreateGrantオペレーションの完了後に、オペレーション中に提供されたすべての許可を廃止します。
注記
Amazon Forecast は、発信者の ID に kms:Decrypt と kms:GenerateDataKey の検証を行います。発信者に関連するアクセス許可がない場合 AccessDeniedException 、 を受け取ります。キーポリシーは次のコードのようになっているはずです。
"Effect": "Allow", "Principal": { "AWS": “AWS Invoking Identity” }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey” ], "Resource": "*" }
詳細については、IAM「 ポリシー」を参照してください。
Amazon Forecast に追加できるポリシーステートメントの例を以下に示します。これらは必要な最小限のアクセス許可であり、 IAM ポリシーを使用して追加することもできます。
"Statement" : [ {"Sid" : "Allow access to principals authorized to use Amazon Forecast", "Effect" : "Allow", "Principal" : {"AWS" : "arn:aws:iam::111122223333:role/ROLE_PASSED_TO_FORECAST" }, "Action" : [ "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource" : "*", "Condition" : {"StringEquals" : {"kms:ViaService" : "forecast.region.amazonaws.com", "kms:CallerAccount" : "111122223333" } }, {"Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" } ]
ポリシーのアクセス権限の指定およびキーアクセスのトラブルシューティングの詳細については、「AWS Key Management Service デベロッパーガイド」を参照してください。
Amazon Forecast Service の暗号化キーを監視する
Amazon Forecast Service リソースで AWS KMS カスタマーマネージドキーを使用する場合、 AWS CloudTrailまたは Amazon CloudWatch Logs を使用して、Forecast が送信するリクエストを追跡できます AWS KMS。次の例はCreateGrant、カスタマーマネージドキーによって暗号化されたデータにアクセスするために Amazon Forecast によって呼び出される AWS KMS オペレーションをモニタリングDescribeKeyするための RetireGrant、、および の AWS CloudTrail イベントです。
