翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
責任 AWS 共有モデル
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
-
各アカウントで多要素認証 (MFA) を使用します。
-
SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
-
で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 AWS CloudTrail ユーザーガイド」のCloudTrail 証跡の使用」を参照してください。
-
AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
-
Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
-
コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3
」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して AWS エンドユーザーメッセージング SMS AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
データ暗号化
AWS エンドユーザーメッセージング SMS データは、転送中および AWS 境界内で保管中に暗号化されます。End AWS User Messaging SMS にデータを送信すると、受信時にデータが暗号化され、保存されます。 AWS エンドユーザーメッセージング SMS からデータを取得すると、現在のセキュリティプロトコルを使用してデータが送信されます。 AWS End User Messaging SMS を使用して SMS メッセージを外部モバイルデバイスに送信すると、データは SMS プロトコルを介して AWS 境界外に転送され、SMS の技術的な制限が適用されます。
保管中の暗号化
AWS エンドユーザーメッセージング SMS は、 AWS 境界内に保存されているすべてのデータを暗号化します。これには、設定データ、登録データ、および AWS エンドユーザーメッセージング SMS に追加するデータが含まれます。データを暗号化するために、 AWS End User Messaging SMS は、サービスがユーザーに代わって所有および維持する internal AWS Key Management Service (AWS KMS) キーを使用します。これらのキーは定期的に更新されます。 AWS KMSの詳細については、『AWS Key Management Service デベロッパーガイド』を参照してください。
転送中の暗号化
AWS エンドユーザーメッセージング SMS は、HTTPS と Transport Layer Security (TLS) 1.2 を使用してクライアントやアプリケーションと通信します。他の AWS サービスと通信するために、 AWS エンドユーザーメッセージング SMS は HTTPS および TLS 1.2 を使用します。さらに、コンソール、 AWS SDK、または を使用して AWS エンドユーザーメッセージング SMS リソースを作成および管理する場合 AWS Command Line Interface、すべての通信は HTTPS および TLS 1.2 を使用して保護されます。
AWS End User Messaging SMS を使用して SMS メッセージを外部モバイルデバイスに送信すると、データは SMS プロトコルを介して AWS 境界外に転送されます。SMS プロトコルには、ユースケースに関連するエンドツーエンドの end-to-end 暗号化の欠如など、いくつかの固有の制限があります。SMS の制限とセキュリティのベストプラクティスの詳細については、SMS プロトコルのセキュリティに関する考慮事項「」および「」を参照してくださいSMS プロトコルセキュリティのベストプラクティス。
キー管理
AWS エンドユーザーメッセージング SMS データを暗号化するために、 AWS エンドユーザーメッセージング SMS は、サービスがユーザーに代わって所有および維持する内部 AWS KMS キーを使用します。これらのキーは定期的に更新されます。 AWS エンドユーザーメッセージング SMS に保存するデータを暗号化するために、独自のキー AWS KMS やその他のキーをプロビジョニングして使用することはできません。
ネットワーク間トラフィックのプライバシー
インターネットワークトラフィックのプライバシーとは、 AWS エンドユーザーメッセージング SMS とオンプレミスのクライアントとアプリケーション間、および AWS エンドユーザーメッセージング SMS と同じ 内の他の AWS リソース間の接続とトラフィックを保護することです AWS リージョン 。以下の機能とプラクティスは、 AWS エンドユーザーメッセージング SMS のインターネットトラフィックのプライバシーを保護するのに役立ちます。
AWS エンドユーザーメッセージング SMS とオンプレミスクライアントおよびアプリケーション間のトラフィック
AWS エンドユーザーメッセージング SMS とオンプレミスネットワーク上のクライアントおよびアプリケーションとの間にプライベート接続を確立するには、 を使用できます AWS Direct Connect。これにより、標準の光ファイバーイーサネットケーブルを使用して、ネットワークを AWS Direct Connect ロケーションにリンクできます。ケーブルの一端はユーザーのルーターに接続します。もう 1 つのエンドは AWS Direct Connect ルーターに接続されています。詳細については、「AWS Direct Connect ユーザーガイド」の「AWS Direct Connectとは」を参照してください。
公開された APIs を介して AWS エンドユーザーメッセージング SMS へのアクセスを保護するために、API コールの AWS エンドユーザーメッセージング SMS 要件に準拠することをお勧めします。 AWS エンドユーザーメッセージング SMS では、クライアントが Transport Layer Security (TLS) 1.2 以降を使用する必要があります。また、クライアントは、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもサポートしている必要があります。モードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。
さらに、リクエストは、 AWS アカウントの AWS Identity and Access Management (IAM) プリンシパルに関連付けられているアクセスキー ID とシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
AWS エンドユーザーメッセージング SMS と他の AWS リソース間のトラフィック
AWS エンドユーザーメッセージング SMS と同じ AWS リージョン内の他の AWS リソース間の通信を保護するために、 AWS エンドユーザーメッセージング SMS はデフォルトで HTTPS と TLS 1.2 を使用します。
AWS 境界外の SMS トラフィックについて
では AWS、データ保護に真剣に取り組んでいます。クラウド環境内に保存および処理するデータを保護するために、さまざまなセキュリティ対策を採用しています。ただし、データが境界を AWS 離れ、外部関係者によって処理または送信される場合、保護のレベルが異なる場合があることを理解することが重要です。
SMS プロトコルは暗号化をサポートしていません。SMS メッセージを送信するには AWS 、SMS メッセージを AWS 境界外に送信する必要があり、SMS メッセージがend-to-endで暗号化されることはありません。
AWS エンドユーザーメッセージング SMS 用のインターフェイス VPC エンドポイントの作成
インターフェイス VPC エンドポイントを作成することで、 AWS エンドユーザーメッセージング SMS で仮想プライベートクラウド (VPC) とエンドポイントの間にプライベート接続を確立できます。
インターフェイスエンドポイントは、インターネットゲートウェイAWS PrivateLink
詳細については、「AWS PrivateLink ガイド」を参照してください。
インターフェイス VPC エンドポイントの作成
Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、インターフェイスエンドポイントを作成できます。詳細については、「 AWS PrivateLink ガイド」の「インターフェイスエンドポイントの作成」を参照してください。
AWS エンドユーザーメッセージング SMS は、次のサービス名をサポートしています。
-
com.amazonaws.region.sms-voice
インターフェイスエンドポイントのプライベート DNS を有効にすると、 などの のデフォルトの DNS 名を使用して AWS リージョン、 AWS エンドユーザーメッセージング SMS に API リクエストを行うことができますcom.amazonaws.。詳細については、「AWS PrivateLink
ガイド」の「DNS ホスト名」を参照してください。us-east-1.sms-voice
VPCエンドポイントポリシーの作成
VPC エンドポイントには、アクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
-
アクションを実行できるプリンシパル。
-
実行可能なアクション。
-
アクションを実行できるリソース。
詳細については、「AWS PrivateLink ガイド」の「Control access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)」を参照してください。
例: VPC エンドポイントポリシー
次の VPC エンドポイントポリシーは、すべてのリソースのすべてのプリンシパルに対して、リストされている AWS エンドユーザーメッセージング SMS アクションへのアクセスを許可します。
{
"Statement": [
{
"Principal": "*",
"Action": [
"sms-voice:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}