View a markdown version of this page

AWS Snowball Edge Edge でのデータ保護 - AWS Snowball Edgeデベロッパーガイド

AWS Snowball Edgeは新規顧客には利用できなくなりました。新規のお客様は、オンライン転送AWS DataSync、安全な物理的な転送のためのAWSデータ転送ターミナル、またはAWSパートナーソリューションを検討する必要があります。エッジコンピューティングについては、AWS Outposts をご覧ください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Snowball Edge Edge でのデータ保護

AWS Snowball Edgeは、データ保護に関する規制やガイドラインを含むAWS責任共有モデルに準拠しています。AWSは、すべてのAWSサービスを実行するグローバルインフラストラクチャを保護する責任があります。AWSは、顧客コンテンツや個人データを処理するためのセキュリティ設定コントロールなど、このインフラストラクチャでホストされるデータの制御を維持します。データ管理者またはデータ処理者として行動するAWS顧客および APN パートナーは、 に格納された個人データに対して責任を負いますAWS クラウド。

データ保護の目的で、AWS アカウント認証情報を保護し、AWS Identity and Access Management(IAM) を使用して個々のユーザーを設定することをお勧めします。これにより、各ユーザーに各自の職務を果たすために必要なアクセス許可のみが付与されます。また、次の方法でデータを保護することもお勧めします:

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用してAWSリソースと通信します。TLS 1.2 以降が推奨されます。

  • で API とユーザーアクティビティのログ記録を設定しますAWS CloudTrail。

  • AWS暗号化ソリューションと、 サービス内のすべてのAWSデフォルトのセキュリティコントロールを使用します。

  • Amazon Macie などのアドバンストマネージドセキュリティサービスを使用します。これは、Amazon S3 に保存されている個人データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API AWSを介して にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2」 を参照してください。

顧客のアカウント番号などの機密の識別情報は、[Name ] (名前)フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、または SDK を使用してAWS CLIAWS Snowball Edgeまたは他のAWSのサービスを使用する場合も同様です。AWS SDKs AWS Snowball Edgeまたは他のサービスに入力したデータはすべて、診断ログの内容として取得される可能性があります。外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。

データ保護の詳細については、AWSセキュリティブログ のブログ投稿「AWSの責任共有モデルと GDPR」を参照してください。

クラウドでのデータの保護

AWS Snowball Edgeは、データを Amazon S3 にインポートまたはエクスポートするとき、Snowball Edge デバイスを注文するジョブを作成するとき、およびデバイスが更新されたときにデータを保護します。以下のセクションでは、Snowball Edge を使用していて、オンラインまたはクラウドAWSで とやり取りするときにデータを保護する方法について説明します。

の暗号化AWS Snowball Edge

Snowball Edge を使用してデータを S3 にインポートする際、デバイスに転送されるすべてのデータは、ネットワーク経由で SSL 暗号化によって保護されます。AWS Snowball Edgeでは、保管時のデータを保護するため、サーバー側の暗号化 (SSE) が使用されます。

でのサーバー側の暗号化AWS Snowball Edge

AWS Snowball Edgeは、Amazon S3 が管理する暗号化キー (SSE-S3) によるサーバー側の暗号化をサポートしています。サーバー側の暗号化は、保管中のデータを保護するものです。SSE-S3 では、Amazon S3 に保管中のデータを保護するための強力な多要素暗号化を採用しています。SSE-S3 の詳細については、Amazon Simple Storage Service ユーザーガイドAmazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護を参照してください。

現在、 はお客様が用意したキーによるサーバー側の暗号化 (SSE-C) を提供しAWS Snowball Edgeていません。Snowball Edge の Amazon S3 互換ストレージは、ローカルのコンピューティングジョブとストレージジョブに SSE-C を提供します。ただし、その SSE タイプを使用して、インポートされたデータを保護したい場合や、エクスポートするデータにすでにこのタイプを使用している場合があります。このような場合は、以下の点に注意してください。

  • インポート

    S3 にインポートしたオブジェクトを SSE-C で暗号化する場合は、代わりに、そのバケットのバケットポリシーの一部として確立されている SSE-KMS または SSE-S3 暗号化を使用することを検討してください。ただし、Amazon S3 にインポートしたオブジェクトを SSE-C で暗号化する必要がある場合は、バケット内のオブジェクトをコピーして SSE-C で暗号化する必要があります。これを実現する CLI コマンドの例を以下に示します。

    aws s3 cp s3://amzn-s3-demo-bucket/object.txt s3://amzn-s3-demo-bucket/object.txt --sse-c --sse-c-key 1234567891SAMPLEKEY

    または

    aws s3 cp s3://amzn-s3-demo-bucket s3://amzn-s3-demo-bucket--sse-c --sse-c-key 1234567891SAMPLEKEY --recursive
  • エクスポート - SSE-C で暗号化されたオブジェクトをエクスポートする場合は、最初にそれらのオブジェクトを別のバケットにコピーします。コピー先のバケットでは、バケットポリシーにサーバー側の暗号化が指定されていないか、SSE-KMS または SSE-S3 が指定されているものとします。

Snowball Edge から Amazon S3 内にインポートしたデータに対する SSE-S3 の有効化

Amazon S3 にインポートするデータに対して SSE-S3 を有効にするには、Amazon S3 マネジメントコンソールで次の手順を使用します。AWS Snow ファミリーマネジメントコンソールまたは Snowball デバイス自体の設定は必要ありません。

Amazon S3 内にインポートするデータに対して SSE-S3 暗号化を有効にするには、データのインポート先となるすべてのバケットに対してバケットポリシーを設定するだけです。アップロードリクエストに s3:PutObject ヘッダーが含まれていない場合は、ポリシーを更新してオブジェクトのアップロード (x-amz-server-side-encryption) 許可を拒否します。

Amazon S3 にインポートしたデータに対して SSE-S3 を有効にするには
  1. にサインインAWS マネジメントコンソールし、https://console.aws.amazon.com/s3/ で Amazon S3 コンソールを開きます。

  2. データをインポートする先のバケットを、バケットのリストから選択します。

  3. [Permissions] を選択します。

  4. [バケットポリシー] を選択します。

  5. [Bucket policy editor] に、次のポリシーを入力します。このポリシーで YourBucket のすべてのインスタンスを実際のバケット名に置き換えます。

    JSON
    { "Version":"2012-10-17", "Id": "PutObjPolicy", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::YourBucket/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } }, { "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::YourBucket/*", "Condition": { "Null": { "s3:x-amz-server-side-encryption": "true" } } } ] }
  6. [保存] を選択します。

Amazon S3 バケットの設定が終了しました。このバケットにデータをインポートすると、データは SSE-S3 によって保護されます。必要に応じて、その他のバケットに対してこの手順を繰り返します。

AWS Key Management Service in AWS Snowball Edge

AWS Key Management Service(AWS KMS) は、データの暗号化に使用される暗号化キーの作成と制御を容易にするマネージドサービスです。 は、ハードウェアセキュリティモジュール (HSMs)AWS KMSを使用してキーのセキュリティを保護します。具体的には、 でジョブ用に選択したAWS KMSキーの Amazon リソースネーム (ARN)AWS Snowball Edgeが KMS キーに関連付けられます。その KMS キーは、ジョブの解除コードの暗号化に使用されます。解除コードは、マニフェストファイルで暗号化の最上位レイヤーを復号するために使用されます。マニフェストファイル内に保存された暗号化キーは、デバイス上のデータを暗号化および復号するために使用されます。

ではAWS Snowball Edge、 は各AWS Snowball Edgeデバイスのデータを保護するために使用される暗号化キーAWS KMSを保護します。ジョブの作成時に、既存の KMS キーを選択することもできます。AWS KMSキーの ARN を指定すると、AWS Snowball Edgeデバイスの一意のキーの暗号化に使用するAWS Snowball EdgeAWS KMS keysが に指示されます。AWS Snowball Edgeサポートされている Amazon S3 server-side-encryption「」を参照してくださいでのサーバー側の暗号化AWS Snowball Edge

Snowball Edge AWS KMS keysのマネージドカスタマーの使用

アカウント用に作成されたAWS KMS keys Snowball Edge Edge に マネージドカスタマーを使用する場合は、次の手順に従います。

ジョブAWS KMS keysの を選択するには
  1. でAWS Snow ファミリーマネジメントコンソール、ジョブの作成を選択します。

  2. ジョブタイプを選択し、[Next] を選択します。

  3. 配送の詳細を入力し、[Next] を選択します。

  4. ジョブの詳細を入力し、[Next] を選択します。

  5. セキュリティオプションを設定します。暗号化で、KMS キーの場合は、AWS マネージドキーまたは以前に作成されたカスタムキーを選択するかAWS KMS、別のアカウントが所有するキーを入力する必要がある場合はキー ARN を入力を選択します。

    注記

    AWS KMS key ARN はカスタマーマネージドキーのグローバル一意識別子です。

  6. 次へ を選択して、 の選択を終了しますAWS KMS key。

  7. Snow デバイスの IAM ユーザーに KMS キーへのアクセスを許可します。

    1. IAM コンソール (https://console.aws.amazon.com/iam/) で [暗号化キー] に移動し、デバイス上のデータの暗号化に使用する KMS キーを開きます。

    2. [キーユーザー][追加] を選択し、Snow デバイスの IAM ユーザーを検索して [アタッチ] を選択します。

カスタム KMS エンベロープ暗号化キーの作成

で独自のカスタムAWS KMSエンベロープ暗号化キーを使用するオプションがありますAWS Snowball Edge。独自のキーの作成を選択した場合は、ジョブを作成したのと同じリージョンで作成する必要があります。

ジョブ用に独自のAWS KMSキーを作成するには、「 AWS Key Management Serviceデベロッパーガイド」の「キーの作成」を参照してください。

デバイスのデータの保護

の保護AWS Snowball Edge

以下は、 を使用する際に考慮すべきセキュリティポイントとAWS Snowball Edge、デバイスが処理AWSのために に到着したときに実行する他のセキュリティ対策に関する大まかな情報です。

以下のセキュリティ手段をお勧めします。

  • デバイスが到着したら、まず、損傷や明らかな改ざんがないか検査してください。 デバイスに疑わしい点が見つかった場合は、内部ネットワークに接続しないでください。AWS サポート にお問い合わせいただければ、新しいデバイスをお客様宛に配送します。

  • ジョブの認証情報が漏れないように保護するための取り組みをしてください。ジョブのマニフェストと解除コードにアクセスできる個人は、そのジョブに送信されたデバイスのコンテンツにもアクセスできます。

  • 配送ドックにデバイスを放置しないでください。配送ドックに置いたままにすると、屋外環境にさらされることになります。各AWS Snowball Edgeデバイスは頑丈ですが、天候によりハードウェアの堅牢性が損なわれる可能性があります。デバイスの盗難、紛失、破損はできるだけ速やかにご報告ください。問題の報告が早いほど、代替品をすぐにお送りしてお客様のジョブを完了させることができます。

注記

AWS Snowball Edgeデバイスは のプロパティですAWS。デバイスへの改ざんは、AWS適正使用ポリシーに違反します。詳細については、http://aws.amazon.com/aup/ をご覧ください。

私たちは次のセキュリティステップを実行しています。

  • Amazon S3 アダプターでデータを転送する場合、オブジェクトメタデータは保持されません。同一のまま残るメタデータは filename および filesize のみです。そのほかのメタデータはすべて、次の例のように設定されます: -rw-rw-r-- 1 root root [filesize] Dec 31 1969 [path/filename]

  • NFS インターフェイスを使用してデータを転送する場合、オブジェクトメタデータは保持されます。

  • デバイスが到着するとAWS、改ざんの兆候がないか検査し、トラステッドプラットフォームモジュール (TPM) によって変更が検出されていないことを確認します。 は、改ざん耐性筐体、256 ビット暗号化、データのセキュリティと完全な保管チェーンの両方を提供するように設計された業界標準の TPM など、データを保護するように設計された複数のセキュリティレイヤーAWS Snowball Edgeを使用します。

  • データ転送ジョブの処理と検証が完了すると、AWSでは National Institute of Standards and Technology (NIST) のメディア衛生のためのガイドラインに従って Snowball デバイスのソフトウェアを消去します。

NFC タグの検証

Snowball Edge Compute Optimized と Snowball Edge Storage Optimized (データ転送用) デバイスには、NFC タグが組み込まれています。これらのタグは、Android で利用可能なAWS Snowball Edge検証アプリでスキャンできます。これらの NFC タグをスキャンして検証すると、使用する前に、デバイスが改ざんされていないことを確認できます。

NFC タグの検証では、Snowball Edge クライアントを使用してデバイス固有の QR コードを生成し、スキャンするタグが正しいデバイス用のものであることを検証します。

Snowball Edge デバイスで NFC タグを確認する手順を以下で説明します。開始する前に、「使用開始」演習の以下の最初の 5 つのステップを実行したことを確認します。

  1. Snowball Edge ジョブを作成します。詳細については、「Snowball Edge デバイスを注文するジョブの作成」を参照してください。

  2. デバイスを受け取ります。詳細については、「Snowball Edge の受領」を参照してください。

  3. ローカルネットワークに接続します。詳細については、「Snowball Edge をローカルネットワークに接続する」を参照してください。

  4. 認証情報とツールを取得します。詳細については、「Snowball Edge にアクセスするための認証情報の取得」を参照してください。

  5. Snowball Edge クライアントのダウンロードとインストール 詳細については、「Snowball Edge クライアントのダウンロードとインストール」を参照してください。

NFC タグを検証するには
  1. snowballEdge get-app-qr-code Snowball Edge クライアントのコマンドを実行します。クラスターのノードに対してこのコマンドを実行する場合は、シリアル番号 (--device-sn) を指定して、1 つのノードの QR コードを取得します。クラスターの各ノードについて、このステップを繰り返します。このコマンドの使用の詳細については、「Snowball Edge NFC タグを検証するための QR コードの取得」を参照してください。

    QR コードは選択した場所に .png ファイルとして保存されます。

  2. 保存した .png ファイルに移動し、これを開き、アプリで QR コードをスキャンできるようにします。

  3. Android AWS Snowball Edgeの検証アプリを使用して、これらのタグをスキャンできます。

    注記

    AWS Snowball Edge検証アプリはダウンロードできませんが、アプリが既にインストールされているデバイスがある場合は、アプリを使用できます。

  4. アプリを起動し、画面の指示に従います。

これでデバイスの NFC タグを正しくスキャンし、検証しました。

スキャン中に問題が発生した場合は、次の操作を試してください。

  • デバイスに Snowball Edge Compute Optimized オプションがあることを確認します。

  • アプリがインストールされている別のデバイスがある場合は、そのデバイスを使用してみてください。

  • 他の NFC タグの干渉を受けない、部屋の隔離された場所にデバイスを移動して、もう一度試してください。

  • 問題が解決しない場合は、AWS サポート にお問い合わせください。