データ暗号化インターネットトラフィックのプライバシーログ記録とモニタリング設定と脆弱性の分析セキュリティのベストプラクティス

セキュリティ AWS OpsWorks 設定管理 (CM)

でのクラウドセキュリティ AWS が最優先事項です。として AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャからメリットを得られます。

セキュリティは、間で共有される責任です。 AWS とユーザー。責任共有モデルでは、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。

クラウドのセキュリティ – AWS は、が実行するインフラストラクチャを保護する責任があります。 AWS のサービス AWS クラウド。 AWS は、安全に使用できるサービスも提供します。サードパーティーの監査者は、の一環として、当社のセキュリティの有効性を定期的にテストおよび検証します。 AWS コンプライアンスプログラム。に適用されるコンプライアンスプログラムについて学ぶには AWS OpsWorks CM、「」を参照してください。 AWS コンプライアンスプログラムによる対象範囲内のサービス。
クラウド内のセキュリティ — お客様の責任はによって決まります。 AWS 使用するサービス。また、お客様は、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。

このドキュメントは、の使用時に責任共有モデルを適用する方法を理解するのに役立ちます。 AWS OpsWorks CM。以下のトピックでは、を設定する方法を示します。 AWS OpsWorks セキュリティとコンプライアンスの目標を達成する CM。また、のモニタリングや保護に役立つ他の AWSのサービスの使用方法についても説明します。 AWS OpsWorks CM リソース。

トピック

データ暗号化

AWS OpsWorks CM は、サーバーのバックアップと承認された間の通信を暗号化します。 AWS ユーザーとその AWS OpsWorks CM サーバー。ただし、のルート Amazon EBSボリュームは AWS OpsWorks CM サーバーは暗号化されません。

保管時の暗号化

AWS OpsWorks CM サーバーのバックアップは暗号化されます。ただし、のルート Amazon EBSボリュームは AWS OpsWorks CM サーバーは暗号化されません。これはユーザーが設定できません。

転送時の暗号化

AWS OpsWorks CM はTLS暗号化HTTPでを使用します。 AWS OpsWorks CM は、ユーザーが署名付き証明書を提供しない場合、サーバーをプロビジョニングおよび管理するためにデフォルトで自己署名証明書を使用します。証明機関 (CA) によって署名された証明書を使用することをお勧めします。

キーの管理

AWS Key Management Service カスタマーマネージドキーと AWSマネージドキーは、現在ではサポートされていません。 AWS OpsWorks CM。

インターネットトラフィックのプライバシー

AWS OpsWorks CM は、が一般的に使用しているのと同じ送信セキュリティプロトコルを使用します。 AWS: HTTPS、またはTLS暗号化HTTPあり。

でのログ記録とモニタリング AWS OpsWorks CM

AWS OpsWorks CM はすべてのAPIアクションをに記録します CloudTrail。詳細については、以下の各トピックを参照してください。

での設定と脆弱性の分析 AWS OpsWorks CM

AWS OpsWorks CM は、で実行されているオペレーティングシステムに対してカーネルとセキュリティの定期的な更新を実行します。 AWS OpsWorks CM サーバー。ユーザーは、現在の日付から最大 2 週間まで、自動更新を実行する時間帯を設定できます。 AWS OpsWorks CM は、Chef および Puppet Enterprise のマイナーバージョンの自動更新をプッシュします。の更新の設定の詳細については、「」を参照してください。 AWS OpsWorks for Chef Automate、このガイドの「システムメンテナンス (Chef)」を参照してください。Puppet Enterprise OpsWorks のの更新の設定の詳細については、このガイドの「システムメンテナンス (Puppet)」を参照してください。

のセキュリティのベストプラクティス AWS OpsWorks CM

AWS OpsWorks CM、すべてのと同様 AWS サービスでは、独自のセキュリティポリシーを開発および実装する際に考慮すべきセキュリティ機能を提供しています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるので、処方箋ではなく、あくまで有用な考慮事項とお考えください。

スターターキットとダウンロードしたログイン認証情報を保護します。新しいを作成する場合 AWS OpsWorks CM サーバーを使用するか、新しいスターターキットと認証情報をからダウンロードします。 AWS OpsWorks CM コンソールでは、少なくとも 1 つの認証要素を必要とする安全な場所にこれらの項目を保存します。認証情報は、サーバーへの管理者レベルのアクセスを提供します。
設定コードを保護します。ソースリポジトリ用の推奨プロトコルを使用して Chef または Puppet 設定コード (クックブックとモジュール) を保護します。例えば、のリポジトリへのアクセス許可を制限できます。 AWS CodeCommit、または GitHub ウェブサイトの「リポジトリのセキュリティ保護 GitHubに関するガイドライン」に従ってください。
CA 署名付き証明書を使用してノードに接続します。ただし、でノードを登録またはブートストラップするときは、自己署名証明書を使用できます。 AWS OpsWorks CM サーバーは、ベストプラクティスとして、CA 署名証明書を使用します。証明機関 (CA) によって署名された証明書を使用することをお勧めします。
Chef または Puppet 管理コンソールのサインイン認証情報は他のユーザーと共有しません。管理者は、ChefまたはPuppetコンソールウェブサイトのユーザごとに別々のユーザを作成する必要があります。
- Chef Automate でのユーザーの管理
- Puppet Enterprise でのユーザーの管理
バックアップとシステムメンテナンスの自動更新を設定します。での自動メンテナンス更新の設定 AWS OpsWorks CM サーバーは、サーバーが最新のセキュリティ関連のオペレーティングシステムの更新を実行していることを保証します。自動バックアップを設定すると、災害対策が容易になり、インシデントや障害発生時の復元時間が短縮されます。を保存する Amazon S3 バケットへのアクセスを制限する AWS OpsWorks CM サーバーのバックアップ。すべての にアクセスを許可しないでください。必要に応じて他のユーザーに個別に読み取りまたは書き込みアクセス権を付与するか、それらのユーザーに IAMでセキュリティグループを作成し、セキュリティグループへのアクセス権を割り当てます。
- システムメンテナンス (Chef)
- システムメンテナンス (Puppet)
- AWS OpsWorks for Chef Automate サーバーのバックアップと復元
- OpsWorks for Puppet Enterprise Server のバックアップと復元
- で最初にIAM委任されたユーザーとグループを作成する AWS Identity and Access Management ユーザーガイド
- 「Amazon Simple Storage Service Developer Guide (Amazon Simple Storage Service 開発者ガイド)」の「Security Best Practices for Amazon S3」(Amazon S3 のセキュリティベストプラクティス)]

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

トラブルシューティング

データ保護