AWS Mainframe Modernization アプリケーションテストでのデータ保護

AWS Mainframe Modernization アプリケーションテストでのデータ保護には、 AWS 責任共有モデル責任共有モデルが適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーに関するよくある質問を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された AWS 責任共有モデルおよび GDPR のブログ記事を参照してください。

AWS アカウント 認証情報を保護し、 AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。その結果、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

お客様の E メールアドレスなどの機密または重要情報は、名前フィールドなどのタグもしくは自由形式のテキストフィールドに使用しないことをお勧めします。これは、コンソール、API、、 AWS CLIまたは SDK AWS のサービス を使用して AWS Mainframe Modernization アプリケーションテストまたはその他の を使用する場合も同様です。 AWS SDKs 名前に使用する自由記述のテキストフィールドやタグに入力したデータは、課金や診断ログに使用される場合があります。外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。

AWS Mainframe Modernization アプリケーションテストによって収集されたデータ

AWS Mainframe Modernization アプリケーションテストは、いくつかのタイプのデータを収集します。

AWS Mainframe Modernization アプリケーションテストは、このデータをネイティブに に保存します AWS。お客様から収集したデータは、 AWS Mainframe Modernization アプリケーションテストが管理する Amazon S3 バケットに保存されます。リソースを削除すると、関連付けられたデータが Amazon S3 バケットから削除されます。

インタラクティブワークロードをテストするためにリプレイを実行するテスト実行を開始すると、 AWS Mainframe Modernization アプリケーションテストはスクリプトをエフェメラルストレージにダウンロードし、Amazon ECS が管理する Fargate コンテナにリプレイを実行します。スクリプトファイルは、リプレイが完了すると削除され、スクリプト生成出力ファイルが アカウントの Application Testing が管理する Amazon S3 バケットに保存されます。再生出力ファイルは、テスト実行を削除すると Amazon S3 バケットから削除されます。

同様に、ファイル (データセットまたはデータベースの変更) を比較するためのテスト実行を開始すると、 AWS Mainframe Modernization アプリケーションテストは、ファイルをエフェメラルストレージのバックド Amazon ECS が管理する Fargate コンテナにダウンロードして比較を実行します。ダウンロードしたファイルは、比較操作が完了するとすぐに削除されます。比較出力データは、 アカウントのアプリケーションテスト管理の Amazon S3 バケットに保存されます。テスト実行を削除すると、出力データは S3 バケットから削除されます。

AWS Mainframe Modernization アプリケーションテストがファイルの比較に使用する Amazon S3 バケットに配置するときに、使用可能なすべての Amazon S3 暗号化オプションを使用してデータを保護できます。

AWS Mainframe Modernization アプリケーションテストの保管中のデータ暗号化

AWS Mainframe Modernization アプリケーションテストは AWS Key Management Service (KMS) と統合され、データを完全に保存するすべての依存リソースで透過的なサーバー側の暗号化 (SSE) を提供します。リソースの例には、Amazon Simple Storage Service、Amazon DynamoDB、Amazon Elastic Block Store などがあります。 AWS Mainframe Modernization アプリケーションテストでは、 で対称暗号化 AWS KMS キーを作成および管理します AWS KMS。

デフォルトでは、保管中のデータを暗号化することで、機密データの保護に伴う運用のオーバーヘッドと複雑な作業を軽減できます。同時に、暗号化のコンプライアンスと規制の厳格な要件を必要とするアプリケーションをテストすることもできます。

テストケース、テストスイート、またはテスト構成を作成するときに、この暗号化レイヤーを無効にしたり、代替の暗号化タイプを選択したりすることはできません。

比較ファイルと AWS CloudFormation テンプレートに独自のカスタマーマネージドキーを使用して Amazon S3 を暗号化できます。このキーを使用して、アプリケーションテストでテスト実行用に作成されたすべてのリソースを暗号化できます。

AWS Mainframe Modernization アプリケーションテストでは、以下のタスクにカスタマーマネージドキーを使用します。

詳細については、「AWS Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

カスタマーマネージドキーを作成する

AWS Management Console または AWS KMS APIs を使用して、対称カスタマーマネージドキーを作成できます。

対称カスタマーマネージドキーを作成するには

AWS Key Management Service デベロッパーガイド にある 対称カスタマーマネージドキーの作成 ステップに従います。

キーポリシー

キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。キーポリシーは、カスタマーマネージドキーの作成時に指定できます。

以下は、アプリケーションテストがリプレイおよび比較によって生成されたデータをアカウントに書き込むことを可能にする、ViaService によるスコープダウンアクセスのキーポリシーの例です。StartTestRun API を呼び出すときは、このポリシーを IAM ロールにアタッチする必要があります。

{
    "Sid": "TestRunKmsPolicy",
    "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/TestRunRole"
    },
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": ["s3.amazonaws.com"]
        },
        "ForAnyValue:StringEquals": {
            "kms:EncryptionContextKeys": "aws:apptest:testrun"
        }
    }
}

詳細については、AWS Key Management Service デベロッパーガイドの「Managing access to customer managed keys」を参照してください。

キーアクセスのトラブルシューティングに関する詳細については、「AWS Key Management Service デベロッパーガイド」を参照してください。

AWS Mainframe Modernization アプリケーションテストのためのカスタマーマネージドキーの指定

テスト構成を作成するときは、KEY ID を入力してカスタマー管理キーを指定できます。Application Testing は、テストの実行中に Amazon S3 バケットにアップロードされたデータを暗号化します。

を使用してテスト設定を作成するときにカスタマーマネージドキーを追加するには AWS CLI、次のように kmsKeyIdパラメータを指定します。

create-test-configuration --name test \
--resources '[{
    "name": "TestApplication",
    "type": {
        "m2ManagedApplication": {
            "applicationId": "wqju4m2dcz3rhny5fpdozrsdd4",
            "runtime": "MicroFocus"
        }
    }
}]' \
--service-settings '{
    "kmsKeyId": "arn:aws:kms:us-west-2:111122223333:key/05d467z6-c42d-40ad-b4b7-274e68b14013"
}'

AWS Mainframe Modernization アプリケーションテストの暗号化コンテキスト

暗号化コンテキストは、データに関する追加のコンテキスト情報を含むキーと値のペアのオプションセットです。

AWS KMS は、追加の認証データとして暗号化コンテキストを使用して、認証された暗号化をサポートします。データを暗号化するリクエストに暗号化コンテキストを含めると、 は暗号化コンテキストを暗号化されたデータに AWS KMS バインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。

AWS Mainframe Modernization アプリケーションテストの暗号化コンテキスト

AWS Mainframe Modernization アプリケーションテストは、テスト実行に関連するすべての AWS KMS 暗号化オペレーションで同じ暗号化コンテキストを使用します。キーは aws:apptest:testrunで、値はテスト実行の一意の識別子です。

"encryptionContext": {
        "aws:apptest:testrun": "u3qd7uhdandgdkhhi44qv77iwq"
}

モニタリングに暗号化コンテキストを使用する

対称カスタマーマネージドキーを使用してテスト実行を暗号化する場合は、監査レコードとログで暗号化コンテキストを使用して、Amazon S3 にデータをアップロードする際にカスタマーマネージドキーがどのように使用されているかを特定することもできます。

AWS Mainframe Modernization アプリケーションテストのための暗号化キーのモニタリング

AWS Mainframe Modernization アプリケーションテストリソースで AWS KMS カスタマーマネージドキーを使用すると、 AWS CloudTrail を使用して、オブジェクトのアップロード時に AWS Mainframe Modernization アプリケーションテストが Amazon S3 に送信するリクエストを追跡できます。

転送中の暗号化

トランザクションワークロードをテストするステップを定義するテストケースの場合、セレンスクリプトを実行しているアプリケーションテストマネージドターミナルエミュレータと AWS Mainframe Modernization アプリケーションエンドポイント間のデータ交換は、転送中に暗号化されません。 AWS Mainframe Modernization アプリケーションテストは AWS PrivateLink 、 を使用してアプリケーションエンドポイントに接続し、パブリックインターネット経由でトラフィックを公開せずにデータをプライベートに交換します。

AWS Mainframe Modernization アプリケーションテストでは、HTTPS を使用してサービス APIs。 AWS Mainframe Modernization アプリケーションテスト内の他のすべての通信は、HTTPS だけでなく、サービス VPC またはセキュリティグループによっても保護されます。

転送中の基本暗号化はデフォルトで構成されていますが、インタラクティブワークロードテストをベースにした TN3270 プロトコルには適用されません。