翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Keyspaces のセキュリティベストプラクティス
Amazon Keyspaces (Apache Cassandra 向け) には、独自のセキュリティポリシーを策定および実装する際に考慮すべきさまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。
**Topics**
+ [Amazon Keyspaces の予防的セキュリティベストプラクティス](best-practices-security-preventative.md)
+ [Amazon Keyspaces の発見的セキュリティベストプラクティス](best-practices-security-detective.md)
# Amazon Keyspaces の予防的セキュリティベストプラクティス
セキュリティに関する以下のベストプラクティスは、Amazon Keyspaces でのセキュリティインシデントの予測と予防に役立ちます。
**保管データ暗号化を使用する**
Amazon Keyspaces では、テーブルに保管されているすべてのユーザーデータに対して、[AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) に保存されている暗号化キーを使用して保管データ暗号化が行われます。この機能は、基になるストレージへの不正アクセスからデータを保護することによって、データ保護の追加レイヤーを提供します。
デフォルトでは、Amazon Keyspaces はすべてのテーブルを暗号化 AWS 所有のキー するために を使用します。このキーは、存在しなければ自動的に作成されます。サービスデフォルトキーは無効にできません。
代わりに、[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)を保管データ暗号化に使用できます。詳細については、[「Amazon Keyspaces Encryption at Rest」](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html)(Amazon Keyspaces の保管データ暗号化) を参照してください。
**IAM ロールを使用して Amazon Keyspaces へのアクセスを認証する**
ユーザー、アプリケーション、およびその他の AWS サービスが Amazon Keyspaces にアクセスするには、 AWS API リクエストに有効な AWS 認証情報を含める必要があります。 AWS 認証情報をアプリケーションまたは EC2 インスタンスに直接保存しないでください。自動更新されない長期認証情報条件のため、漏洩すると業務に深刻な悪影響が及ぶ可能性があります。IAM ロールでは、 AWS サービスおよびリソースにアクセスするために使用できる一時的なアクセスキーを有効にすることができます。
詳細については、[「IAM ロール」](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)を参照してください。
**IAM ポリシーを使用して Amazon Keyspaces ベースの認可を行う**
許可を付与する場合、許可を取得するユーザー、取得する許可の対象となる Amazon Keyspaces、およびそれらのリソースに対して許可される特定のアクションを決定します。最小特権の実装は、セキュリティリスクはもちろん、エラーや悪意ある行動によってもたらされる可能性のある影響を減らす上での鍵となります。
IAM アイデンティティ (ユーザー、グループ、ロール) にアクセス権限ポリシーをアタッチし、Amazon Keyspaces リソースでオペレーションを実行する許可を付与します。
これを行うには、次を使用します。
+ [AWS 管理 (事前定義) ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
**詳細に設定されたアクセスコントロールのための IAM ポリシー条件を使用する**
Amazon Keyspaces でアクセス許可を付与するときは、アクセス権限ポリシーを有効にする方法を決める条件を指定できます。最小特権の実装は、セキュリティリスクはもちろん、エラーや悪意ある行動によってもたらされる可能性のある影響を減らす上での鍵となります。
IAM ポリシーを使用して、アクセス許可を付与するときに条件を指定できます。例えば、次のオペレーションを実行できます。
+ 特定のキースペースまたはテーブルに対する読み取り専用アクセスをユーザーに許可するために、アクセス許可を付与します。
+ ユーザーのアイデンティティに基づいて、特定のテーブルへのユーザー書き込みアクセスを許可するために、アクセス許可を付与します。
詳細については、「[Identity-Based Policy Examples (アイデンティティベースのポリシーの例)](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html)」を参照してください。
**クライアント側の暗号化を考慮する**
機密データや機密データを Amazon Keyspaces に保存する場合は、データを可能な限りオリジンの近くで暗号化して、ライフサイクル全体にわたってデータを保護することを検討してください。伝送中および保管時の機密データを暗号化することで、サードパーティーがお客様のプレーンテキストデータを使用することはできません。
# Amazon Keyspaces の発見的セキュリティベストプラクティス
セキュリティに関する以下のベストプラクティスは、潜在的なセキュリティ上の弱点とインシデントの検出に役立つため、発見的とみなされています。
**を使用して AWS Key Management Service (AWS KMS) AWS KMS キーの使用状況をモニタリング AWS CloudTrail する**
保管時の暗号化に[カスタマーマネージド AWS KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)を使用している場合、このキーの使用は にログインされます AWS CloudTrail。CloudTrail は、アカウントで実行されたアクションをレコードすることで、ユーザーのアクティビティを可視化します。CloudTrail は、リクエストの実行者、使用されたサービス、実行されたアクション、アクションのパラメータ、 AWS サービスによって返されたレスポンス要素など、各アクションに関する重要な情報を記録します。この情報は、 AWS リソースに加えられた変更を追跡し、運用上の問題をトラブルシューティングするのに役立ちます。CloudTrail を使用すると、社内ポリシーや規制スタンダードへのコンプライアンスが容易になります。
CloudTrail を使用して、キーの使用状況を監査できます。CloudTrail は、アカウントの AWS API コールおよび関連イベントの履歴を含むログファイルを作成します。これらのログファイルには、統合 AWS サービスを通じて行われたものに加えて、コンソール、 AWS SDKs、コマンドラインツールを使用して行われたすべての AWS KMS API リクエストが含まれます。これらのログファイルを使用して、 AWS KMS キーが使用された日時、リクエストされたオペレーション、リクエスタの ID、リクエスト元の IP アドレスなどに関する情報を取得できます。詳細については、「[AWS CloudTrailを使用した AWS Key Management Service API 呼び出しのログ記録](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html)」と「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)」を参照してください。
**CloudTrail を使用して、Amazon Keyspaces データ定義言語 (DDL) オペレーションをモニタリングする**
CloudTrail は、アカウントで実行されたアクションをレコードすることで、ユーザーのアクティビティを可視化します。CloudTrail は、リクエストを行ったユーザー、使用されたサービス、実行されたアクション、アクションのパラメータ、 AWS のサービスから返されたレスポンス要素など、各アクションに関する重要な情報をレコードします。この情報は、 AWS リソースに加えられた変更の追跡、およびオペレーション問題のトラブルシューティングに役立ちます。CloudTrail を使用すると、社内ポリシーや規制スタンダードへのコンプライアンスが容易になります。
Amazon Keyspaces [DDL オペレーション](cql.ddl.md)はすべて CloudTrail のログに自動的に記録されます。DDL オペレーションでは、Amazon Keyspaces のキースペースとテーブルの作成と管理を行います。
Amazon Keyspaces でアクティビティが発生すると、そのアクティビティはイベント履歴の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。詳細については、[「Logging Amazon Keyspaces operations by using AWS CloudTrail」](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html) ( を使用した Amazon Keyspaces オペレーションのログ記録) を参照してください。で最近のイベントを表示、検索、ダウンロードできます AWS アカウント。詳細については、*「AWS CloudTrail ユーザーガイド」*の[「Viewing events with CloudTrail event history」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)(CloudTrail イベント履歴でのイベントの表示) を参照してください。
Amazon Keyspaces のイベントなど AWS アカウント、 のイベントの継続的な記録については、[証跡](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)を作成します。証跡により、CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、証跡がすべての AWS リージョンに適用されます。証跡では、 AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した S3 バケットにログファイルが配信されます。さらに、CloudTrail ログで収集されたイベントデータをさらに分析して処理するように他の AWS サービスを設定できます。
**識別とオートメーションのために Amazon Keyspaces リソースにタグを付ける**
タグの AWS 形式でリソースにメタデータを割り当てることができます。各タグは、カスタマー定義のキーと値 (オプション) で構成されるシンプルなラベルです。タグを使用すると、リソースの管理、検索、フィルターが容易になります。
タグ付けを行うと、グループ化されたコントロールを実装できます。タグには固有のタイプはありませんが、 用途、所有者、環境などの基準でリソースを分類できます。次に例をいくつか示します。
+ アクセス — タグに基づいて Amazon Keyspaces リソースへのアクセスを制御するために使用されます。詳細については、「[Amazon Keyspaces タグに基づいた認可](security_iam_service-with-iam.md#security_iam_service-with-iam-tags)」を参照してください。
+ セキュリティ — データ保護設定などの要件を決定するために使用されます。
+ 機密性 — リソースでサポートされるデータ機密性レベルの識別子。
+ 環境 — 開発、テスト、本番稼働用インフラストラクチャを区別するために使用されます。
詳細については、「[AWS tagging strategies ( タグ付け戦略)](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)」と「[Adding tags and labels to resources (リソースへのタグとラベルの追加)](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html)」を参照してください。