翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Quick でのデータ保護
AWS [共有責任モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon Quick でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Amazon Quick AWS CLIまたは他の AWS のサービス を操作する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
Amazon Quick は、基盤となる LLMsトレーニングや改善に顧客データを使用しません。
**Topics**
+ [Amazon Quick でのデータ暗号化](data-encryption.md)
+ [Amazon Quick でのネットワーク間トラフィックのプライバシー](internetwork-traffic-privacy.md)
# Amazon Quick でのデータ暗号化
Amazon Quick は、次のデータ暗号化機能を使用します。
+ 保管中の暗号化
+ 転送中の暗号化
+ キー管理
保管時のデータ暗号化と転送中のデータ暗号化の詳細については、次のトピックを参照してください。Amazon Quick でのキー管理の詳細については、[AWS KMS 「カスタマーマネージドキーを使用した Amazon Quick SPICE データセットの暗号化](https://docs.aws.amazon.com/quicksuite/latest/userguide/customer-managed-keys.html)」を参照してください。
**Topics**
+ [保管中の暗号化](#data-encryption-at-rest)
+ [転送中の暗号化](#data-encryption-in-transit)
## 保管中の暗号化
Amazon Quick は、Amazon Quick メタデータを安全に保存します。これには以下が含まれます。
+ Amazon Quick ユーザー名、E メールアドレス、パスワードなどの Amazon Quick ユーザーデータ。Amazon Quick 管理者はユーザー名とパスワードを表示できますが、各ユーザーのパスワードは各ユーザーに対して完全にプライベートです。
+ Microsoft Active Directory または ID フェデレーション実装 (Security Assertion Markup Language 2.0 (SAML 2.0) によるフェデレーション Single Sign-On (IAM アイデンティティセンター)) を使用したユーザー識別の調整に必要な最小限のデータ。
+ データソース接続データ。
+ データソース接続を確立するための Amazon Quick データソース認証情報 (ユーザー名とパスワード) または OAuth トークンは、お客様が Amazon Quick に CMK を登録すると、お客様のデフォルト CMK で暗号化されます。お客様が Amazon Quick に CMK を登録しない場合、Amazon Quick が所有する AWS KMS キーを使用して引き続き情報を暗号化します。
+ アップロードしたファイルの名前、データソース名、およびデータセット名。
+ Amazon Quick が機械学習 (ML) インサイトの入力に使用する統計。
+ Quick で Amazon Q をサポートするようにインデックス化されたデータ。これには以下が含まれます。
+ トピック
+ ダッシュボードに関連するメタデータ
+ インデックス容量の初回購入
+ 最初のチャット
+ 最初のスペース作成
+ 最初のナレッジベースの作成
**注記**
上記を作成する前に CMK を設定します。それ以外の場合、Q データは AWSが所有するキーによって暗号化され、後で変更することはできません。
Amazon Quick は、Amazon Quick データを安全に保存します。これには以下が含まれます。
+ のData-at-restSPICE、マネージドキーによるハードウェアブロックレベルの暗号化を使用して暗号化 AWSされます。
+ SPICE 以外で保管中のデータは、Amazon マネージド KMS キーを使用して暗号化されます。これには以下が含まれます。
+ メールレポート
+ フィルターのサンプル値
ユーザーを削除すると、そのユーザーのメタデータはすべて、完全に削除されます。そのユーザーの Amazon Quick オブジェクトを他のユーザーに転送しない場合、削除されたユーザーの Amazon Quick オブジェクト (データソース、データセット、分析など) もすべて削除されます。Amazon Quick のサブスクリプションを解除すると、 にあるすべてのメタデータとデータはSPICE完全かつ完全に削除されます。
## 転送中の暗号化
Amazon Quick は、すべてのデータ転送の暗号化をサポートしています。これには、データソースから SPICE への転送、または SPICE からユーザーインターフェイスへの転送が含まれます。ただし、暗号化は必須ではありません。データベースによっては、データソースからの転送を暗号化するかどうかを選択できます。Amazon Quick は、Secure Sockets Layer (SSL) を使用して、暗号化されたすべての転送を保護します。
# Amazon Quick でのネットワーク間トラフィックのプライバシー
Amazon Quick を使用するには、ユーザーはインターネットにアクセスする必要があります。また、Amazon Quick モバイルアプリがインストールされている互換性のあるブラウザまたはモバイルデバイスにアクセスする必要があります。分析するデータソースへのアクセスは必要ありません。このアクセスは Amazon Quick 内で処理されます。Amazon Quick へのユーザー接続は、SSL を使用して保護されます。ユーザーが Amazon Quick にアクセスできるように、HTTPS および Web Sockets Secure (wss://) プロトコルへのアクセスを許可します。
企業ネットワーク環境では、Microsoft AD Connector と Single Sign-On (IAM アイデンティティセンター) を使用できます。ID プロバイダーを使用して、アクセスをさらに制限することができます。必要に応じて、MFA を使用することもできます。
Amazon Quick は、Amazon Quick のデータソース所有者から提供された接続情報を使用してデータソースにアクセスします。Amazon Quick とオンプレミスアプリケーション間、および Amazon Quick と同じ 内の他の AWS リソース間の接続は保護されます AWS リージョン。任意のソースへの接続の場合、データソースは Amazon Quick からの接続を許可する必要があります。
## サービスとオンプレミスのクライアントおよびアプリケーションとの間のトラフィック
プライベートネットワークと の間には 2 つの接続オプションがあります AWS。
+ An AWS Site-to-Site VPN 接続。詳細については、[AWS site-to-site VPN とは」を参照してください。](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Direct Connect 接続。詳細については、[AWS 「直接接続とは」を参照してください。](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
AWS API オペレーションを使用してネットワーク経由で Amazon Quick とやり取りする場合、クライアントは Transport Layer Security (TLS) 1.0 をサポートする必要があります。TLS 1.2 をお勧めします。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントに対応している必要があります。モードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。また、リクエストには、IAM プリンシパルに関連付けられたアクセスキー ID およびシークレットアクセスキーによる署名が必要です。または、リクエストへの署名のために一時的にセキュリティ認証情報を生成する「[AWS Security Token Service (STS)](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)」を使用することもできます。
## 同じリージョン内の AWS リソース間のトラフィック
Amazon Quick の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントは、VPC 内の論理エンティティであり、Amazon Quick への接続のみを許可します。VPC はリクエストを Amazon Quick にルーティングし、レスポンスを VPC にルーティングします。詳細については次を参照してください:
+ 「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)」
+ [Amazon Quick を使用した Amazon VPC への接続](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)