• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# AWS Systems Manager でのデータ保護
データ保護には、*転送中* (Systems Manager 間でデータを送受信するとき) のデータを保護するものと、*保管時* (AWS データセンター内のディスクに格納されているとき) のデータを保護するものがあります。
AWS[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/) は、AWS Systems Manager でのデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護するがあります。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された [AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) のブログ記事を参照してください。
データを保護するため、「AWS アカウント」 認証情報を保護し、「AWS IAM アイデンティティセンター」 または 「AWS Identity and Access Management」 (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して 「AWS」 リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ AWS CloudTrail で API とユーザーアクティビティロギングを設定します。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「AWS CloudTrail ユーザーガイド**」の「[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS のサービス 内のすべてのデフォルトセキュリティコントロールに加え、AWS 暗号化ソリューションを使用します。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API を使用して 「AWS」 にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK で Systems Manager または他の AWS のサービス を使用する場合も同様です。タグ、または名前に使用される自由形式のテキストフィールドに入力されるデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
## データ暗号化
### 保管中の暗号化
**Parameter Store パラメータ**
AWS Systems Manager のツールである Parameter Store で作成できるパラメータのタイプには、`String`、`StringList`、`SecureString` があります。
すべてのパラメータは、タイプに関係なく、転送中および保管時の両方で暗号化されます。転送中、パラメータは Transport Layer Security (TLS) を使用して暗号化され、API リクエストの安全な HTTPS 接続が作成されます。保管時には、AWS Key Management Service (AWS KMS) の AWS 所有のキー で暗号化されます。AWS 所有のキー 暗号化の詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS 所有のキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。
`SecureString` タイプには追加の暗号化オプションが用意されており、すべての機密データに推奨されます。次のタイプの AWS KMS キーから選択して、`SecureString` パラメータの値を暗号化および復号できます。
+ アカウントの AWS マネージドキー
+ アカウントで作成したカスタマーマネージドキー (CMK)
+ 共有されている別の AWS アカウント の CMK
AWS KMS 暗号化の詳細については、「[AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
**S3 バケット内のコンテンツ**
Systems Manager オペレーションの一環として、1 つまたは複数の Amazon Simple Storage Service (Amazon S3) バケットにデータをアップロードまたは保存できます。
S3 バケット暗号化の詳細については、*Amazon Simple Storage Service ユーザーガイド*の「[暗号化を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html)」および「[Amazon S3 におけるデータ保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)」を参照してください。
Systems Manager アクティビティの一環として S3 バケットにアップロードまたは保存できるデータのタイプは次の通りです。
+ AWS Systems Manager のツールである Run Command のコマンドの出力
+ AWS Systems Manager のツールである Distributor のパッケージ
+ AWS Systems Manager のツールである Patch Manager のパッチ適用オペレーションログ
+ Patch Managerのパッチ上書きリスト
+ Automation のランブックワークフローで実行するスクリプトまたは Ansible プレイブック (AWS Systems Manager のツール)
+ Compliance (AWS Systems Manager のツール) のスキャンで使用する Chef InSpec プロファイル
+ AWS CloudTrail ログ
+ AWS Systems Manager のツールである Session Manager のセッション履歴ログ
+ AWS Systems Manager のツールである Explorer からのレポート
+ AWS Systems Manager のツールである OpsCenter からの OpsData
+ Automation ワークフローで使用する AWS CloudFormation テンプレート
+ リソースデータ同期スキャンからのコンプライアンスデータ
+ マネージドノードの State Manager (AWS Systems Manager のツール) の関連付けを作成または編集するリクエストの出力
+ AWS 管理対象の SSM ドキュメント `AWS-RunDocument` を使用して実行できる Systems Manager のカスタムドキュメント (SSM ドキュメント)
**CloudWatch Logs ロググループ**
Systems Manager オペレーションの一環として、1 つ以上の Amazon CloudWatch Logs ロググループにデータをストリーミングできます。
CloudWatch Logs ロググループの暗号化の詳細については、*Amazon CloudWatch Logs ユーザーガイド*の「[AWS Key Management Service を使用した CloudWatch Logs でのログデータの暗号化](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)」を参照してください。
アクティビティの一環として CloudWatch Logs ロググループにSystems Managerストリーミングした可能性のあるデータのタイプは次の通りです。
+ Run Command コマンドの出力
+ オートメーション runbook 内の `aws:executeScript` アクションを使用して実行されるスクリプトの出力
+ Session Manager セッションの履歴ログ
+ マネージド型ノードの SSM Agent のログ
### 転送中の暗号化
Transport Layer Security (TLS) のような暗号化プロトコルを使用してクライアントとユーザーノードの間で送受信される機密データを暗号化することをお勧めします。
Systems Manager では、転送中のデータの暗号化について、次のサポートが提供されます。
**Systems Manager API エンドポイントへの接続**
Systems Manager API エンドポイントでは、HTTPS 経由の安全な接続のみがサポートされます。Systems Manager リソースを AWS マネジメントコンソール、AWS SDK、または Systems Manager API を使用して管理する場合、すべての通信は Transport Layer Security (TLS) で暗号化されます。API エンドポイントの完全なリストについては、「Amazon Web Services 全般のリファレンス」の「[AWS のサービス エンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。
**マネージドインスタンス**
AWS は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス間のセキュアでプライベートな接続を提供します。また、同じ Virtual Private Cloud (VPC) 内やピア接続された VPC 内のサポートされているインスタンス間で転送中のトラフィックを自動的に暗号化します。これには、256 ビット暗号化の AEAD アルゴリズムを使用します。この暗号化機能は、基盤となるハードウェアのオフロード機能を使用し、ネットワークパフォーマンスには影響を及ぼしません。サポートされているインスタンスは、C5n、G4、I3en、M5dn、M5n、P3dn、R5dn、R5n です。
**Session Manager セッション**
デフォルトでは、Session Manager は、TLS 1.3 を使用して、アカウント内のユーザーのローカルマシンと EC2 インスタンス間で送信されるセッションのデータを暗号化します。AWS KMS で作成された AWS KMS key を使用して、転送中のデータをさらに暗号化することもできます。AWS KMS 暗号化は、`Standard_Stream`、`InteractiveCommands`、および `NonInteractiveCommands` セッションタイプで使用できます。
**Run Command アクセス**
デフォルトで、Run Command を使用してノードへのリモートアクセスは、TLS 1.3 を使用して暗号化され、接続確立のリクエストは SigV4 を使用して署名されます。
## インターネットトラフィックのプライバシー
Amazon Virtual Private Cloud (Amazon VPC) を使用して、マネージドノード内のリソース間に境界を作成し、それらの間のトラフィック、オンプレミス ネットワーク、インターネットを制御できます。詳細については、「[Systems Manager のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する](setup-create-vpc.md)」を参照してください。
Amazon Virtual Private Cloud セキュリティの詳細については、*Amazon VPC ユーザーガイド*の「[Amazon VPC でのインターネットワークトラフィックのプライバシー](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)」を参照してください。