サポート終了通知: 2026 年 10 月 7 日、 AWS はサポートを終了します AWS Proton。2026 年 10 月 7 日以降、 AWS Proton コンソールまたは AWS Proton リソースにアクセスできなくなります。デプロイされたインフラストラクチャはそのまま残ります。詳細については、[AWS Proton 「サービス廃止と移行ガイド](https://docs.aws.amazon.com/proton/latest/userguide/proton-end-of-support.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# のセキュリティのベストプラクティス AWS Proton
<a name="security-best-practices"></a>

AWS Proton には、独自のセキュリティポリシーを開発および実装する際に考慮すべきセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるので、処方箋ではなく、あくまで有用な検討事項とお考えください。

**Topics**
+ [IAM を使用したアクセス制御](#use-iam-to-control-access)
+ [テンプレートおよびテンプレートバンドルに認証情報を埋め込まない](#creds)
+ [暗号化を使用した機密データの保護](#encryption)
+ [AWS CloudTrail を使用して API コールを表示およびログに記録する](#cloudtrail)

## IAM を使用したアクセス制御
<a name="use-iam-to-control-access"></a>

IAM は、ユーザーとそのアクセス許可を管理するために AWS のサービス 使用できる です AWS。で IAM を使用して AWS Proton 、テンプレート、環境、サービスの管理など、管理者と開発者が実行できる AWS Proton アクションを指定できます。IAM サービスロールを使用すると、 AWS Proton がユーザーに代わって他の サービスを呼び出すことができます。

 AWS Proton および IAM ロールの詳細については、「」を参照してください[の Identity and Access Management AWS Proton](security-iam.md)。

最小特権アクセスの実装 詳細については、『*AWS Identity and Access Management ユーザーガイド*』の 「[IAM のポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」を参照してください。

## テンプレートおよびテンプレートバンドルに認証情報を埋め込まない
<a name="creds"></a>

 CloudFormation テンプレートやテンプレートバンドルに機密情報を埋め込むのではなく、スタックテンプレートで*動的参照*を使用することをお勧めします。

動的参照は、 AWS Systems Manager Parameter Store や などの他のサービスに保存および管理されている外部値を参照するコンパクトで強力な方法を提供します AWS Secrets Manager。動的なリファレンスを使用すると、CloudFormation は、スタックオペレーションおよび変更セットオペレーション中に指定されたリファレンスの値を取得して、その値を適切なリソースに渡します。ただし、CloudFormation が実際の参照値を保存することはありません。詳細については、*CloudFormation ユーザーガイド*の[「動的リファレンスを使用してテンプレート値を指定する」](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)を参照してください。

[AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) を使用して、データベースやその他のサービスの認証情報を安全に暗号化、保存、取得できます。[AWS Systems Manager パラメータストア](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) は、構成データ管理のための安全な階層型ストレージを提供します。

テンプレートパラメータの詳細については、*CloudFormation ユーザーガイド*の「[https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html)」を参照してください。

## 暗号化を使用した機密データの保護
<a name="encryption"></a>

内では AWS Proton、すべての顧客データはデフォルトで AWS Proton 所有キーを使用して暗号化されます。

プラットフォームチームのメンバーは、カスタマーマネージドキーを に提供 AWS Proton して、機密データを暗号化および保護できます。S3 バケットに保管中の機密データを暗号化します。詳細については、「[でのデータ保護 AWS Proton](data-protection.md)」を参照してください。

## AWS CloudTrail を使用して API コールを表示およびログに記録する
<a name="cloudtrail"></a>

AWS CloudTrail は、 で API コールを行っているすべてのユーザーを追跡します AWS アカウント。API コールは、API、コンソール AWS Proton 、または AWS Proton AWS CLI コマンドを使用するたびにログに AWS Proton 記録されます。ログ記録を有効にして Amazon S3 バケットを指定し、ログを保存します。これにより、必要に応じて、アカウントでどのような AWS Proton 呼び出しを行ったかを監査できます。詳細については、「[でのログ記録とモニタリング AWS Proton](security-logging-and-monitoring.md)」を参照してください。