AWS Panorama アプライアンスセキュリティのベストプラクティス

アプライアンスを物理的に保護する — アプライアンスは密閉されたサーバーラックまたは安全な部屋に設置してください。デバイスへの物理的なアクセスは、権限のある担当者に限定してください。

アプライアンスのネットワーク接続を保護する — 内部リソースと外部リソースへのアクセスを制限するルーターにアプライアンスを接続します。アプライアンスは、安全な内部ネットワーク上にあるカメラに接続する必要があります。また、AWSに接続する必要があります。2 つ目のイーサネットポートは物理的な冗長性のためだけに使用し、必要なトラフィックのみを許可するようにルーターを構成します。

推奨ネットワーク構成のいずれかを使用して、ネットワークレイアウトを計画してください。詳細については、「AWS Panorama アプライアンスをネットワークに接続します」を参照してください。

USB ドライブのフォーマット — アプライアンスをプロビジョニングしたら、USB ドライブを取り外してフォーマットします。アプライアンスは AWS Panorama サービスに登録した後は USB ドライブを使用しません。一時的な認証情報、構成ファイル、プロビジョニングログを削除するようにドライブをフォーマットします。

アプライアンスを最新の状態に保つ — アプライアンスのソフトウェアアップデートを適時に適用してください。AWS Panorama コンソールでアプライアンスを表示すると、ソフトウェアアップデートが利用可能な場合コンソールから通知されます。詳細については、「AWS Panorama アプライアンスの管理」を参照してください。

デバイスを説明 API オペレーションでは、LatestSoftwareおよびCurrentSoftware フィールドを比較することで更新の確認を自動化できます。最新のソフトウェアバージョンが現在のバージョンと異なる場合は、コンソールまたは デバイスのためにジョブを作成 オペレーションを使用してアップデートを適用します。

アプライアンスの使用をやめた場合は、リセットしてください – アプライアンスを安全なデータセンターから移動する前に、アプライアンスを完全にリセットしてください。アプライアンスの電源を切り、電源を接続した状態で、電源ボタンとリセットボタンを同時に5秒間押します。これにより、アカウント認証情報、アプリケーション、およびログがアプライアンスから削除されます。

詳細については、「AWS Panorama アプライアンスのボタンとライト」を参照してください。

AWS Panorama やその他のサービスへのアクセスを制限する — AWSPanoramaFullAccess を使用すると、すべての AWS Panorama API オペレーションにアクセスできるほか、必要に応じて他のサービスにもアクセスできます。このポリシーは、可能な限り、命名規則に基づいてリソースへのアクセスを制限します。たとえば、名前が panorama で始まるAWS Secrets Manager シークレットへのアクセスを許可します。読み取り専用アクセス権が必要なユーザーや、より具体的なリソースセットへのアクセスを必要とするユーザーには、最小特権ポリシーを起点として管理ポリシーを使用してください。

詳細については、「AWS Panorama のアイデンティティベースの IAM ポリシー」を参照してください。