Amazon Timestream for LiveAnalytics に類似した機能をご希望の場合は Amazon Timestream for InfluxDB をご検討ください。リアルタイム分析に適した、シンプルなデータインジェストと 1 桁ミリ秒のクエリ応答時間を特徴としています。詳細については、[こちら](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html)を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Timestream for LiveAnalytics のセキュリティ
のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。
セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。
+ **クラウドのセキュリティ** – AWS クラウドで AWS サービスを実行するインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。セキュリティの有効性は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの審査機関によって定期的にテストおよび検証されています。Timestream for LiveAnalytics に適用されるコンプライアンスプログラムについては、「[コンプライアンスプログラムによるAWS 対象範囲内のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウドのセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、お客様は、お客様のデータの機密性、組織の要件、および適用可能な法律および規制などの他の要因についても責任を担います。
このドキュメントは、Timestream for LiveAnalytics を使用する際に適用される責任共有モデルについての理解の助けとなることを目的としています。以下のトピックでは、セキュリティとコンプライアンスの目的を達成するために Timestream for LiveAnalytics を設定する方法が紹介されています。また、Timestream for LiveAnalytics リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
**Topics**
+ [Timestream for LiveAnalytics でのデータ保護](data-protection.md)
+ [Amazon Timestream for LiveAnalytics の ID とアクセスの管理](security-iam.md)
+ [Timestream for LiveAnalytics でのログ記録とモニタリング](monitoring.md)
+ [Amazon Timestream for LiveAnalytics のレジリエンス](disaster-recovery-resiliency.md)
+ [Amazon Timestream for LiveAnalytics のインフラストラクチャセキュリティ](infrastructure-security.md)
+ [Timestream での設定と脆弱性の分析](ConfigAndVulnerability.md)
+ [Timestream for LiveAnalytics でのインシデント対応](IncidentResponse.md)
+ [VPC エンドポイント (AWS PrivateLink)](VPCEndpoints.md)
+ [Amazon Timestream for LiveAnalytics のセキュリティのベストプラクティス](best-practices-security.md)
# Timestream for LiveAnalytics でのデータ保護
責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon Timestream Live Analytics のデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Timestream Live Analytics AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
保管時の暗号化やキー管理など、Timestream for LiveAnalytics データ保護トピックの詳細については、以下の利用可能なトピックのいずれかを選択してください。
**Topics**
+ [保管中の暗号化](EncryptionAtRest.md)
+ [転送中の暗号化](EncryptionInTransit.md)
+ [キーの管理](KeyManagement.md)
# 保管中の暗号化
Timestream for LiveAnalytics の保管時の暗号化は、[AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) に保存されている暗号化キーを使用してすべての保管中のデータを暗号化することにより高度なセキュリティを提供します。この機能は、機密データの保護における負担と複雑な作業を減らすのに役立ちます。保管時に暗号化することで、セキュリティを重視したアプリケーションを構築して、暗号化のコンプライアンスと規制の厳格な要件を満たすことができます。
+ Timestream for LiveAnalytics データベースでは暗号化がデフォルトで有効になっており、無効にすることはできません。デフォルトで使用される暗号化アルゴリズムは、業界標準の AES-256 暗号化アルゴリズムです。
+ AWS KMS は、LiveAnalytics の Timestream で保管中の暗号化に必要です。
+ テーブル内の項目のサブセットのみを暗号化することはできません。
+ 暗号化を使用するために、データベースのクライアントアプリケーションを変更する必要はありません。
キーを指定しない場合、Timestream for LiveAnalytics はアカウント`alias/aws/timestream`で という名前の AWS KMS キーを作成して使用します。
KMS で独自のカスタマーマネージドキーを使用して、Timestream for LiveAnalytics データを暗号化できます。Timestream for LiveAnalytics のキーの詳細については、「[キーの管理](KeyManagement.md)」を参照してください。
Timestream for LiveAnalytics は、メモリストアとマグネティックストアの 2 つのストレージ階層にデータを保存します。メモリストアデータは、Timestream for LiveAnalytics サービスキーを使用して暗号化されます。マグネティックストアデータは KMS AWS キーを使用して暗号化されます。
Timestream Query サービスには、データにアクセスするための認証情報が必要です。これらの認証情報は、KMS キーを使用して暗号化されます。
**注記**
LiveAnalytics の Timestream は、すべての Decrypt オペレーション AWS KMS に対して を呼び出すわけではありません。代わりに、アクティブなトラフィックでキーのローカルキャッシュを 5 分間保持します。権限の変更は、Timestream for LiveAnalytics システムを通じて伝播され、結果整合性は最大 5 分以内に維持されます。
# 転送中の暗号化
Timestream for LiveAnalytics のデータはすべて、転送中に暗号化されます。デフォルトでは、Timestream for LiveAnalytics との間における通信はすべて、Transport Layer Security (TLS) 暗号化を使用して保護されます。
# キーの管理
Key [AWS Management Service (AWS KMS) を使用して、Amazon Timestream Live Analytics のキー](https://docs.aws.amazon.com/kms/latest/developerguide/)を管理できます。**Timestream for LiveAnalytics では、KMS を使用してデータを暗号化する必要があります。**キー管理には、キーに対してどの程度制御を求めるかに応じて、次のオプションがあります。
**データベースとテーブルのリソース**
+ *Timestream for LiveAnalytics マネージドキー:* キーを指定しない場合、Timestream for LiveAnalytics は KMS を使用して `alias/aws/timestream` キーを作成します。
+ *カスタマーマネージドキー:* KMS カスタマーマネージドキーがサポートされています。キーの権限とライフサイクルをより詳細に制御する必要がある場合は、このオプションを選択してください。これには、キーを毎年自動的にローテーションさせる機能が含まれます。
**スケジュールされたクエリリソース**
+ *Timestream for LiveAnalytics 所有のキー:* キーを指定しない場合、Timestream for LiveAnalytics は独自の KMS キーを使用してクエリリソースを暗号化します。このキーは Timestream アカウントにあります。詳細については、「KMS デベロッパーガイド」の「[AWS 所有のキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。
+ *カスタマーマネージドキー:* KMS カスタマーマネージドキーがサポートされています。キーの権限とライフサイクルをより詳細に制御する必要がある場合は、このオプションを選択してください。これには、キーを毎年自動的にローテーションさせる機能が含まれます。
外部キーストア (XKS) の KMS キーはサポートされていません。
# Amazon Timestream for LiveAnalytics の ID とアクセスの管理
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に Timestream for LiveAnalytics リソースの使用を*承認する* (権限を付与する) かを制御します。IAM は、追加料金なしで AWS のサービス 使用できる です。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [Amazon Timestream for LiveAnalytics と IAM の連携方法](security_iam_service-with-iam.md)
+ [AWS Amazon Timestream Live Analytics の マネージドポリシー](security-iam-awsmanpol.md)
+ [Amazon Timestream for LiveAnalytics アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)
+ [Amazon Timestream for LiveAnalytics のアイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[Amazon Timestream for LiveAnalytics のアイデンティティとアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Amazon Timestream for LiveAnalytics と IAM の連携方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[Amazon Timestream for LiveAnalytics アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときに、これらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### アクセスコントロールリスト (ACL)
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Amazon S3、および Amazon VPC は AWS WAF、ACLs。ACL の詳細については、*Amazon Simple Storage Service デベロッパーガイド* の [アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) を参照してください。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# Amazon Timestream for LiveAnalytics と IAM の連携方法
IAM を使用して Timestream for LiveAnalytics へのアクセスを管理する前に、Timestream for LiveAnalytics で使用できる IAM 機能について理解しておく必要があります。Timestream for LiveAnalytics およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Timestream for LiveAnalytics のアイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Timestream for LiveAnalytics のリソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [Timestream for LiveAnalytics のタグに基づく承認](#security_iam_service-with-iam-tags)
+ [Timestream for LiveAnalytics の IAM ロール](#security_iam_service-with-iam-roles)
## Timestream for LiveAnalytics のアイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Timestream for LiveAnalytics は、特定のアクションとリソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
IAM ポリシーステートメントのアクション要素では、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーション、CLI コマンド、または SQL コマンドへのアクセスを許可または拒否します。
場合によっては、単一のアクションで API オペレーションと SQL コマンドへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
Timestream for LiveAnalytics でサポートされている `Action` のリストについては、以下の表を参照してください。
**注記**
データベース固有の `Actions` すべてで、データベース ARN を指定して、アクションを特定のデータベースに制限できます。
| アクション | 説明 | アクセスレベル | リソースタイプ (\$1 必須) |
| --- | --- | --- | --- |
| DescribeEndpoint | 後続のリクエストを行う必要がある Timestream エンドポイントを返します。 | すべて | \$1 |
| Select | 1 つ以上のテーブルからデータを選択する Timestream でクエリを実行します。[詳しい説明は、こちらの注意事項を参照してください。](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues) | 読み取り | テーブル\$1 |
| CancelQuery | クエリをキャンセルします。 | 読み取り | \$1 |
| ListTables | テーブルのリストを取得します。 | リスト | データベース\$1 |
| ListDatabases | データベースのリストを取得します。 | リスト | \$1 |
| ListMeasures | メジャーのリストを取得します。 | 読み取り | テーブル\$1 |
| DescribeTable | テーブルの説明を取得します。 | 読み取り | テーブル\$1 |
| DescribeDatabase | データベースの説明を取得します。 | 読み取り | データベース\$1 |
| SelectValues | 特定のリソースを指定する必要がないクエリを実行します。[詳しい説明は、こちらの注意事項を参照してください](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues)。 | 読み取り | \$1 |
| WriteRecords | Timestream にデータを挿入します。 | 書き込み | テーブル\$1 |
| CreateTable | テーブルを作成します。 | 書き込み | データベース\$1 |
| CreateDatabase | データベースを作成します。 | 書き込み | \$1 |
| DeleteDatabase | データベースを削除します。 | 書き込み | \$1 |
| UpdateDatabase | データベースを更新します。 | 書き込み | \$1 |
| DeleteTable | テーブルを削除します。 | 書き込み | データベース\$1 |
| UpdateTable | テーブルを更新します。 | 書き込み | データベース\$1 |
#### SelectValues と Select:
`SelectValues` は、リソースを*必要としない*クエリに使用される `Action` です。リソースを必要としないクエリの例を次に示します。
```
SELECT 1
```
このクエリでは特定の Timestream for LiveAnalytics リソースを参照していないことに注意してください。別の例を考えてみましょう。
```
SELECT now()
```
このクエリは、`now()` 関数を使用して現在のタイムスタンプを返しますが、リソースを指定する必要はありません。`SelectValues` はテストによく使用されるため、Timestream for LiveAnalytics はリソースなしでクエリを実行できます。次に、`Select` クエリについて考えてみましょう。
```
SELECT * FROM database.table
```
このタイプのクエリでは、指定されたデータをテーブルから取得できるように、リソース、特に Timestream for LiveAnalytics `table` が必要です。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Timestream for LiveAnalytics では、IAM 権限の `Resource` 要素でデータベースとテーブルを使用できます。
Timestream for LiveAnalytics データベースリソースには、次の ARN があります。
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}
```
Timestream for LiveAnalytics テーブルリソースには、次の ARN があります。
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}/table/${TableName}
```
ARN の形式の詳細については、[「Amazon リソースネーム (ARNs)」と AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
例えば、ステートメントで `database` キースペースを指定するには、次の ARN を使用します。
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/mydatabase"
```
特定のアカウントに属するすべてのデータベースを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/*"
```
リソースの作成など、一部の Timestream for LiveAnalytics アクションは、特定のリソースで実行できません。このような場合はワイルドカード \$1を使用する必要があります。
```
"Resource": "*"
```
### 条件キー
Timestream for LiveAnalytics にはサービス固有条件キーがありませんが、いくつかのグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
### 例
Timestream for LiveAnalytics のアイデンティティベースのポリシーの例を表示するには、「[Amazon Timestream for LiveAnalytics アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Timestream for LiveAnalytics のリソースベースのポリシー
Timestream for LiveAnalytics は、リソースベースのポリシーをサポートしていません。詳細なリソースベースのポリシーページの例を表示するには、[https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) を参照してください。
## Timestream for LiveAnalytics のタグに基づく承認
タグを使用して、Timestream for LiveAnalytics リソースへのアクセスを管理できます。タグに基づいてリソースアクセスを管理するには、`timestream:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。Timestream for LiveAnalytics リソースのタグ付けの詳細については、「[リソースへのタグとラベルの追加](tagging-keyspaces.md)」を参照してください。
リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースのポリシーの例を表示するには、「[タグに基づく Timestream for LiveAnalytics リソースへのアクセス](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags)」を参照してください。
## Timestream for LiveAnalytics の IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
### Timestream for LiveAnalytics での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。
### サービスリンクロール
Timestream for LiveAnalytics は、サービスにリンクされたロールをサポートしていません。
### サービスロール
Timestream for LiveAnalytics はサービスロールをサポートしていません。
# AWS Amazon Timestream Live Analytics の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
**Topics**
+ [AmazonTimestreamInfluxDBFullAccess](#security-iam-awsmanpol-AmazonTimestreamInfluxDBFullAccess)
+ [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess)
+ [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess)
+ [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess)
+ [ポリシーの更新](#security-iam-awsmanpol-updates)
## AWS マネージドポリシー: AmazonTimestreamInfluxDBFullAccess
ユーザー、グループおよびロールに `AmazonTimestreamInfluxDBFullAccess` をアタッチできます。Amazon Timestream InfluxDB インスタンスを作成、更新、削除、一覧表示するためのポリシーアクセス。
**アクセス許可の詳細**
このポリシーには、以下の許可が含まれています。
+ `Amazon Timestream` – Amazon Timestream InfluxDB インスタンスを作成、更新、削除、一覧表示し、パラメータグループを作成、一覧表示するための完全な管理者アクセス権を付与します。
このポリシーを JSON 形式で確認するには、「[AmazonTimestreamInfluxDBFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamInfluxDBFullAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonTimestreamReadOnlyAccess
ユーザー、グループおよびロールに `AmazonTimestreamReadOnlyAccess` をアタッチできます。このポリシーは、Amazon Timestream への読み取り専用アクセス権を付与します。
**アクセス許可の詳細**
このポリシーには、以下の許可が含まれています。
+ `Amazon Timestream` – Amazon Timestream への読み取り専用アクセス権を付与します。また、実行中のクエリをキャンセルする権限も付与します。
このポリシーを JSON 形式で確認するには、「[AmazonTimestreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamReadOnlyAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonTimestreamConsoleFullAccess
ユーザー、グループおよびロールに `AmazonTimestreamConsoleFullAccess` をアタッチできます。
このポリシーは、 AWS マネジメントコンソールを使用して Amazon Timestream を管理するためのフルアクセス権を付与します。このポリシーは、保存されたクエリを管理する特定の AWS KMS オペレーションとオペレーションのアクセス許可も付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `Amazon Timestream` – Amazon Timestream へのフルアクセス権をプリンシパルに付与します。
+ `AWS KMS` — プリンシパルにエイリアスの一覧表示とキーの記述を許可します。
+ `Amazon S3` – プリンシパルにすべての Amazon S3 バケットの一覧表示を許可します。
+ `Amazon SNS` – プリンシパルに Amazon SNS トピックの一覧表示を許可します。
+ `IAM` – プリンシパルに IAM ロールの一覧表示を許可します。
+ `DBQMS` — プリンシパルにクエリへのアクセス、作成、削除、記述、および更新を許可します。データベースクエリメタデータサービス (dbqms) は、内部専用のサービスです。Amazon Timestream AWS のサービスを含む複数の の のクエリエディタ AWS マネジメントコンソール の最近のクエリと保存されたクエリを提供します。
+ `Pricing` – プリンシパルに作成時に InfluxDB リソース設定の料金見積もりへのアクセスを許可します。
+ `Marketplace` – プリンシパルにマーケットプレイスリソースへのアクセスと、リードレプリカ作成での InfluxDB クラスターの契約作成を許可します。
このポリシーを JSON 形式で確認するには、「[AmazonTimestreamConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamConsoleFullAccess.html)」を参照してください。
## AWS マネージドポリシー: AmazonTimestreamFullAccess
ユーザー、グループおよびロールに `AmazonTimestreamFullAccess` をアタッチできます。
このポリシーは、Amazon Timestream へのフルアクセスを提供します。このポリシーは、特定の AWS KMS オペレーションに対するアクセス許可も付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `Amazon Timestream` – Amazon Timestream へのフルアクセス権をプリンシパルに付与します。
+ `AWS KMS` — プリンシパルにエイリアスの一覧表示とキーの記述を許可します。
+ `Amazon S3` – プリンシパルにすべての Amazon S3 バケットの一覧表示を許可します。
このポリシーを JSON 形式で確認するには、「[AmazonTimestreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamFullAccess.html)」を参照してください。
## AWS マネージドポリシーへの Timestream Live Analytics の更新
このサービスがこれらの変更の追跡を開始してからの Timestream Live Analytics の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、[Timestream for LiveAnalytics ドキュメント履歴](doc-history.md)ページから、RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – 既存ポリシーへの更新 | Timestream for InfluxDB は、エンタープライズマーケットプレイス製品へのサブスクリプションをサポートするために、Influx Enterprise マーケットプレイス製品 ID を既存の `AmazonTimestreamInfluxDBFullAccess` マネージドポリシーに追加しました。これらのアクセス許可は、特定の のみへのアクセスを制限する条件により、特定の AWS Marketplace 製品に制限されます`ProductIds`。「[AmazonTimestreamInfluxDBFullAccess](https://docs.aws.amazon.com/timestream/latest/developerguide/security-iam-awsmanpol-influxdb.html#iam.identitybasedpolicies.predefinedpolicies)」を参照してください。 | 2025 年 10 月 17 日 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – 既存ポリシーへの更新 | マーケット AWS プレイスリソースにアクセスし、リードレプリカ作成で InfluxDB クラスターの契約を作成するための Marketplace アクセス許可を既存の `AmazonTimestreamConsoleFullAccess`マネージドポリシーに追加しました。 Timestream for LiveAnalytics は、`Sid` フィールドを追加してこのマネージドポリシーも更新しました。 ポリシーの更新は、`AmazonTimestreamConsoleFullAccess` マネージドポリシーの使用には影響しません。 | 2025 年 8 月 20 日 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – 既存ポリシーへの更新 | 作成時に InfluxDB リソース設定の料金見積もりを提供する `pricing:GetProducts` アクションを既存の `AmazonTimestreamConsoleFullAccess` マネージドポリシーに追加しました。 ポリシーの更新は、`AmazonTimestreamConsoleFullAccess` マネージドポリシーの使用には影響しません。 | 2025 年 6 月 10 日 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – 既存ポリシーへの更新 | 既存の `AmazonTimestreamReadOnlyAccess` マネージドポリシーに `timestream:DescribeAccountSettings` アクションが追加されました。このアクションは、 AWS アカウント 設定を記述するために使用されます。 Timestream for LiveAnalytics は、`Sid` フィールドを追加してこのマネージドポリシーも更新しました。 ポリシーの更新は、`AmazonTimestreamReadOnlyAccess` マネージドポリシーの使用には影響しません。 | 2024 年 6 月 3 日 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – 既存ポリシーへの更新 | 既存の `AmazonTimestreamReadOnlyAccess` マネージドポリシーに `timestream:DescribeBatchLoadTask` および `timestream:ListBatchLoadTasks` アクションが追加されました。これらのアクションは、バッチロードタスクを一覧表示および記述するときに使用されます。 ポリシーの更新は、`AmazonTimestreamReadOnlyAccess` マネージドポリシーの使用には影響しません。 | 2023 年 2 月 24 日 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess) – 既存ポリシーへの更新 | 既存の `AmazonTimestreamReadOnlyAccess` マネージドポリシーに `timestream:DescribeScheduledQuery` および `timestream:ListScheduledQueries` アクションが追加されました。これらのアクションは、既存のスケジュールされたクエリを一覧表示および記述するときに使用されます。 ポリシーの更新は、`AmazonTimestreamReadOnlyAccess` マネージドポリシーの使用には影響しません。 | 2021 年 11 月 29 日 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – 既存ポリシーへの更新 | 既存の `AmazonTimestreamConsoleFullAccess` マネージドポリシーに `s3:ListAllMyBuckets` アクションが追加されました。このアクションは、Timestream の Amazon S3 バケットを指定してマグネティックストアの書き込みエラーをログ記録する場合に使用されます。 ポリシーの更新は、`AmazonTimestreamConsoleFullAccess` マネージドポリシーの使用には影響しません。 | 2021 年 11 月 29 日 |
| [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess) – 既存のポリシーへの更新 | 既存の `AmazonTimestreamFullAccess` マネージドポリシーに `s3:ListAllMyBuckets` アクションが追加されました。このアクションは、Timestream の Amazon S3 バケットを指定してマグネティックストアの書き込みエラーをログ記録する場合に使用されます。 ポリシーの更新は、`AmazonTimestreamFullAccess` マネージドポリシーの使用には影響しません。 | 2021 年 11 月 29 日 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess) – 既存ポリシーへの更新 | 既存の `AmazonTimestreamConsoleFullAccess` マネージドポリシーから冗長アクションを削除しました。以前は、このポリシーには冗長アクション `dbqms:DescribeQueryHistory` が含まれていました。更新されたポリシーは、冗長アクションを削除します。 ポリシーの更新は、`AmazonTimestreamConsoleFullAccess` マネージドポリシーの使用には影響しません。 | 2021 年 4 月 23 日 |
| Timestream for LiveAnalytics が変更の追跡を開始 | Timestream Live Analytics は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2021 年 4 月 21 日 |
# Amazon Timestream for LiveAnalytics アイデンティティベースのポリシーの例
デフォルトでは、IAM ユーザーおよびロールには、Timestream for LiveAnalytics リソースを作成または変更する権限はありません。また、、CQLSH AWS マネジメントコンソール、、 AWS CLIまたは AWS API を使用してタスクを実行することはできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行する権限をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらの権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチする必要があります。
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Timestream for LiveAnalytics コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Timestream for LiveAnalytics の一般的なオペレーション](#security_iam_id-based-policy-examples-common-operations)
+ [タグに基づく Timestream for LiveAnalytics リソースへのアクセス](#security_iam_id-based-policy-examples-tags)
+ [スケジュールされたクエリ](#security_iam_id-based-policy-examples-sheduledqueries)
## ポリシーに関するベストプラクティス
アイデンティティベースポリシーは、アカウントで、あるユーザーが Timestream for LiveAnalytics リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Timestream for LiveAnalytics コンソールの使用
Timestream for LiveAnalytics には、Amazon Timestream for LiveAnalytics コンソールにアクセスするための特定の権限は必要ありません。 AWS アカウントの LiveAnalytics リソースの Timestream の詳細を一覧表示および表示するには、少なくとも読み取り専用のアクセス許可が必要です。最小限必要な許可よりも厳しく制限されたアイデンティティベースポリシーを作成すると、そのポリシーを添付したエンティティ (IAM ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Timestream for LiveAnalytics の一般的なオペレーション
以下は、Timestream for LiveAnalytics サービスの一般的なオペレーションを許可する IAM ポリシーの例です。
**Topics**
+ [すべてのオペレーションを許可する](#security_iam_id-based-policy-examples-common-operations.all)
+ [SELECT オペレーションの許可](#security_iam_id-based-policy-examples-common-operations.select)
+ [複数のリソースに対する SELECT オペレーションの許可](#security_iam_id-based-policy-examples-common-operations.select-multiple-resources)
+ [メタデータオペレーションの許可](#security_iam_id-based-policy-examples-common-operations.metadata)
+ [INSERT オペレーションの許可](#security_iam_id-based-policy-examples-common-operations.insert)
+ [CRUD オペレーションの許可](#security_iam_id-based-policy-examples-common-operations.crud)
+ [クエリをキャンセルし、リソースを指定せずにデータを選択する](#security_iam_id-based-policy-examples-common-operations.cancel-selectvalues)
+ [データベースの作成、記述、削除、更新](#security_iam_id-based-policy-examples-common-operations.cddd)
+ [リストされたデータベースをタグ `{"Owner": "${username}"}` で制限する](#security_iam_id-based-policy-examples-common-operations.list-by-tag)
+ [データベース内のテーブルの一覧表示](#security_iam_id-based-policy-examples-common-operations.list-all-tables)
+ [テーブルでの作成、記述、削除、更新、選択](#security_iam_id-based-policy-examples-common-operations.cddus-table)
+ [テーブルによるクエリの制限](#security_iam_id-based-policy-examples-common-operations.limit-query-table)
### すべてのオペレーションを許可する
以下は、Timestream for LiveAnalytics のすべてのオペレーションを許可するサンプルポリシーです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:*"
],
"Resource": "*"
}
]
}
```
------
### SELECT オペレーションの許可
次のサンプルポリシーは、特定のリソースに対して `SELECT` スタイルのクエリを許可します。
**注記**
`` は自分の Amazon アカウント ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### 複数のリソースに対する SELECT オペレーションの許可
次のサンプルポリシーは、複数のリソースに対して `SELECT` スタイルのクエリを許可します。
**注記**
`` は自分の Amazon アカウント ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps1",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps2"
]
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### メタデータオペレーションの許可
次のサンプルポリシーは、メタデータクエリの実行をユーザーに許可しますが、Timestream for LiveAnalytics で実際のデータを読み書きするオペレーションの実行は許可しません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeTable",
"timestream:ListMeasures",
"timestream:SelectValues",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### INSERT オペレーションの許可
次のサンプルポリシーは、アカウント `` の `database/sampleDB/table/DevOps` で `INSERT` オペレーションを実行することをユーザーに許可します。
**注記**
`` は自分の Amazon アカウント ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:WriteRecords"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
### CRUD オペレーションの許可
次のサンプルポリシーは、ユーザーに Timestream for LiveAnalytics での CRUD オペレーション実行を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:DeleteTable",
"timestream:DeleteDatabase",
"timestream:UpdateTable",
"timestream:UpdateDatabase"
],
"Resource": "*"
}
]
}
```
------
### クエリをキャンセルし、リソースを指定せずにデータを選択する
次のサンプルポリシーは、ユーザーがクエリをキャンセルし、リソース仕様を必要としないデータに対して `Select` クエリを実行することを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### データベースの作成、記述、削除、更新
次のサンプルポリシーは、ユーザーに `sampleDB` データベースの作成、記述、削除を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:DeleteDatabase",
"timestream:UpdateDatabase"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB"
}
]
}
```
------
### リストされたデータベースをタグ `{"Owner": "${username}"}` で制限する
次のサンプルポリシーは、ユーザーにキーと値のペア `{"Owner": "${username}"}` でタグ付けされたすべてのデータベースの一覧表示を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListDatabases"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
### データベース内のテーブルの一覧表示
次のサンプルポリシーは、データベース `sampleDB` 内のすべてのテーブルを一覧表示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListTables"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/"
}
]
}
```
------
### テーブルでの作成、記述、削除、更新、選択
次のサンプルポリシーは、データベース `sampleDB` 内でのテーブルの作成、テーブルの記述、テーブルの削除、テーブルの更新、テーブル `DevOps` に対する `Select` クエリの実行をユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:DeleteTable",
"timestream:UpdateTable",
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
### テーブルによるクエリの制限
次のサンプルポリシーは、ユーザーにデータベース `sampleDB` で `DevOps` を除くすべてのテーブルのクエリ実行を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/*"
},
{
"Effect": "Deny",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
## タグに基づく Timestream for LiveAnalytics リソースへのアクセス
アイデンティティベースのポリシーの条件を使用して、タグに基づいて Timestream for LiveAnalytics リソースへのアクセスを管理できます。このセクションでは、いくつかの例を紹介します。
次の例で、テーブルの `Owner` にユーザーのユーザー名の値が含まれている場合に、そのテーブルを表示するためのアクセス許可をユーザーに付与するポリシーを作成する方法について説明します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyAccessTaggedTables",
"Effect": "Allow",
"Action": "timestream:Select",
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
このポリシーはアカウントの IAM ユーザーにアタッチできます。`richard-roe` という名前のユーザーが Timestream for LiveAnalytics テーブルを表示しようとする場合、そのテーブルには `Owner=richard-roe` または `owner=richard-roe` とタグ付けされている必要があります。それ以外の場合、アクセスは拒否されます。条件キー名では大文字と小文字は区別されないため、条件タグキー `Owner` は `Owner` と `owner` に一致します。詳細については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
次のポリシーは、リクエストで渡されたタグにキー `Owner` と値 `username` がある場合に、ユーザーにそのタグを使用してテーブルを作成する権限を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:TagResource"
],
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:RequestTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
以下のポリシーは、`dev` または `test` のいずれかに設定した `env` タグを持つデータベースでの `DescribeDatabase` API の使用を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeDatabase"
],
"Resource": "*"
},
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"timestream:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/env": [
"test",
"dev"
]
}
}
}
]
}
```
------
このポリシーでは、`Condition` キーを使って、キー `env` と値 `test`、`qa`、`dev` のいずれかを持つタグをリソースに追加できます。
## スケジュールされたクエリ
### ScheduledQuery の一覧表示、削除、更新、実行
次のサンプルポリシーは、ユーザーにスケジュールされたクエリの一覧表示、削除、更新、実行を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DeleteScheduledQuery",
"timestream:ExecuteScheduledQuery",
"timestream:UpdateScheduledQuery",
"timestream:ListScheduledQueries",
"timestream:DescribeEndpoints"
],
"Resource": "*"
}
]
}
```
------
### カスタマーマネージド KMS キーを使用した CreateScheduledQuery
次のサンプルポリシーは、カスタマーマネージド KMS キー ** を使用して暗号化されたスケジュールされたクエリをユーザーが作成することを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/ScheduledQueryExecutionRole"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:CreateScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### カスタマーマネージド KMS キーを使用した DescribeScheduledQuery
次のサンプルポリシーは、カスタマーマネージド KMS キー ** を使用して作成されたスケジュールされたクエリをユーザーが記述することを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:DescribeScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### 実行ロールの権限 (スケジュールされたクエリにはカスタマーマネージド KMS キーを使用し、エラーレポートには SSE-KMS を使用)
次のサンプルポリシーを、エラーレポートのスケジュールされたクエリの暗号化と `SSE-KMS` 暗号化にカスタマーマネージド KMS キーを使用する `CreateScheduledQuery` API の `ScheduledQueryExecutionRoleArn` パラメータで指定された IAM ロールにアタッチします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/"
],
"Effect": "Allow"
},
{
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-west-2:123456789012:scheduled-query-notification-topic-*"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:Select",
"timestream:SelectValues",
"timestream:WriteRecords"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::scheduled-query-error-bucket",
"arn:aws:s3:::scheduled-query-error-bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
### 実行ロールの信頼関係
以下は、`CreateScheduledQuery` API の `ScheduledQueryExecutionRoleArn` パラメータで指定された IAM ロールの信頼関係です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"timestream.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### アカウント内で作成されたすべてのスケジュールされたクエリへのアクセスを許可する
次のサンプルポリシーを `CreateScheduledQuery` API の `ScheduledQueryExecutionRoleArn` パラメータで指定された IAM ロールにアタッチして、アカウント *Account\$1ID* 内で作成されたすべてのスケジュールされたクエリへのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/*"
}
}
}
]
}
```
------
### 特定の名前でスケジュールされたすべてのクエリへのアクセスを許可する
次のサンプルポリシーを `CreateScheduledQuery` API の `ScheduledQueryExecutionRoleArn` パラメータで指定された IAM ロールにアタッチして、アカウント *Account\$1ID* 内で *Scheduled\$1Query\$1Name* で始まる名前でスケジュールされたすべてのクエリへのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/Scheduled_Query_Name*"
}
}
}
]
}
```
------
# Amazon Timestream for LiveAnalytics のアイデンティティとアクセスのトラブルシューティング
次の情報は、Timestream for LiveAnalytics と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。
**Topics**
+ [Timestream for LiveAnalytics でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [自分の AWS アカウント以外のユーザーに Timestream for LiveAnalytics リソースへのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## Timestream for LiveAnalytics でアクションを実行する権限がない
にアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。管理者とは、サインイン認証情報を提供した担当者です。
以下のエラーの例は、`mateojackson` IAM ユーザーがコンソールを使用して*テーブル*の詳細を表示したときに、そのテーブルの `timestream:Select` 権限を持っていない場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: timestream:Select on resource: mytable
```
この場合、Mateo は、`timestream:Select` アクションを使用して `mytable` リソースにアクセスできるように、管理者にポリシーの更新を依頼します。
## iam:PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Timestream for LiveAnalytics にロールを渡せるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
次の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して Timestream for LiveAnalytics でアクションを実行しようとする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の AWS アカウント以外のユーザーに Timestream for LiveAnalytics リソースへのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ Timestream for LiveAnalytics がこれらの機能をサポートしているかどうかを確認するには、「[Amazon Timestream for LiveAnalytics と IAM の連携方法](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[「IAM ユーザーガイド」の「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
# Timestream for LiveAnalytics でのログ記録とモニタリング
モニタリングは、Timestream for LiveAnalytics と AWS ソリューションの信頼性、可用性、パフォーマンスを維持する上で重要な部分です。マルチポイント障害が発生した場合は、その障害をより簡単にデバッグできるように、 AWS ソリューションのすべての部分からモニタリングデータを収集する必要があります。ただし、Timestream for LiveAnalytics のモニタリングを開始する前に、以下の質問に対する回答を反映したモニタリング計画を作成する必要があります。
+ モニタリングの目的は何ですか?
+ どのリソースをモニタリングしますか?
+ どのくらいの頻度でこれらのリソースをモニタリングしますか?
+ どのモニタリングツールを利用しますか?
+ 誰がモニタリングタスクを実行しますか?
+ 問題が発生したときに誰が通知を受け取りますか?
次のステップでは、さまざまなタイミングと負荷条件でパフォーマンスを測定することにより、お客様の環境で通常の Timestream for LiveAnalytics パフォーマンスのベースラインを確定します。Timestream for LiveAnalytics をモニタリングするときは、履歴モニタリングデータを保存して、現在のパフォーマンスデータと比較し、通常のパフォーマンスパターンとパフォーマンスの異常を特定し、問題に対処する方法を考案できるようにします。
ベースラインを確立するには、少なくとも次の項目をモニタリングする必要があります。
+ システムエラー。リクエストでエラーが発生したかどうかを判断できます。
**Topics**
+ [モニタリングツール](monitoring-automated-manual.md)
+ [を使用した LiveAnalytics API コールの Timestream のログ記録 AWS CloudTrail](logging-using-cloudtrail.md)
# モニタリングツール
AWS には、Timestream for LiveAnalytics のモニタリングに使用できるさまざまなツールが用意されています。これらのツールの一部はモニタリングを行うように設定できますが、一部のツールは手動による介入が必要です。モニタリングタスクをできるだけ自動化することをお勧めします。
**Topics**
+ [自動モニタリングツール](#monitoring-automated_tools)
+ [手動モニタリングツール](#monitoring-manual-tools)
## 自動モニタリングツール
次の自動化されたモニタリングツールを使用して、Timestream for LiveAnalytics をモニタリングし、問題が発生したときにレポートできます。
+ **Amazon CloudWatch アラーム** - 指定した期間にわたって単一のメトリクスをモニタリングし、複数の期間にわたる特定のしきい値に対するメトリクスの値に基づいて 1 つ以上のアクションを実行します。アクションは、Amazon Simple Notification Service (Amazon SNS) のトピックまたは Amazon EC2 Auto Scaling のポリシーに送信される通知です。CloudWatch アラームは、特定の状態にあるという理由だけでアクションを呼び出すことはありません。状態が変更され、指定された期間維持されている必要があります。詳細については、「[Amazon CloudWatch によるモニターリング](monitoring-cloudwatch.md)」を参照してください。
## 手動モニタリングツール
Timestream for LiveAnalytics のモニタリングで重要な点には、CloudWatch アラームの対象外の項目を手動でモニタリングすることもあります。Timestream for LiveAnalytics、CloudWatch Trusted Advisor、およびその他の AWS マネジメントコンソール ダッシュボードには、 AWS 環境の状態がat-a-glanceビューが表示されます。
+ CloudWatch のホームページでは以下について確認できます。
+ 現在のアラームとステータス
+ アラームとリソースのグラフ
+ サービスのヘルスステータス
また、CloudWatch を使用して以下のことを行えます。
+ 重視するサービスをモニタリングするための[カスタマイズしたダッシュボード](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html)を作成します
+ メトリクスデータをグラフ化して、問題のトラブルシューティングを行い、傾向を確認する
+ すべての AWS リソースメトリクスを検索して参照する
+ 問題があることを通知するアラームを作成/編集する
# を使用した LiveAnalytics API コールの Timestream のログ記録 AWS CloudTrail
LiveAnalytics の Timestream は AWS CloudTrail、LiveAnalytics の Timestream でユーザー、ロール、または のサービスによって実行されたアクションを記録する AWS サービスである と統合されています。 LiveAnalytics CloudTrail では、Timestream for LiveAnalytics のデータ定義言語 (DDL) API コールがイベントとしてキャプチャされます。キャプチャされる呼び出しには、Timestream for LiveAnalytics コンソールからの呼び出しと、Timestream for LiveAnalytics API オペレーションに対するコード呼び出しがあります。証跡を作成する場合は、Timestream for LiveAnalytics のイベントを含め、Amazon Simple Storage Service (Amazon S3) バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。追跡を設定しない場合でも、CloudTrail コンソールの **[イベント履歴]** で最新のイベントを確認できます。CloudTrail によって収集された情報を使用して、Timestream for LiveAnalytics に対して行われたリクエスト、リクエストが行われた IP アドレス、リクエストを行ったユーザー、リクエストが行われた時間、その他の詳細を確認できます。
CloudTrail の詳細については、「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)」を参照してください。
## CloudTrail での Timestream for LiveAnalytics の情報
CloudTrail は、 AWS アカウントの作成時にアカウントで有効になります。LiveAnalytics の Timestream でアクティビティが発生すると、そのアクティビティはイベント**履歴**の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。最近のイベントは、 AWS アカウントで表示、検索、ダウンロードできます。詳細については、[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)を参照してください。
**警告**
現在、Timestream for LiveAnalytics はすべての管理オペレーションおよび `Query` API オペレーションの CloudTrail イベントを生成しますが、`WriteRecords` API と `DescribeEndpoints` API のイベントは生成しません。
Timestream for LiveAnalytics のイベントなど、 AWS アカウントのイベントの継続的な記録については、証跡を作成します。*証跡*により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、証跡はすべての AWS リージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集されたイベントデータをさらに分析して処理するように他の AWS サービスを設定できます。
詳細については、『*AWS CloudTrail ユーザーガイド:*』の以下のトピックを参照してください。
+ [追跡作成の概要](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail がサポートするサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [CloudTrail の Amazon SNS 通知の設定](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [CloudTrail ログファイルの複数のリージョンからの受け取り](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)
+ [複数のアカウントから CloudTrailログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [データイベントのログ記録](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
+ リクエストがルートまたは AWS Identity and Access Management (IAM) ユーザー認証情報を使用して行われたかどうか
+ リクエストの送信に使用された一時的なセキュリティ認証情報に、ロールとフェデレーテッドユーザーのどちらが使用されたか
+ リクエストが別の AWS サービスによって行われたかどうか
詳細については、「[CloudTrail userIdentity 要素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)」を参照してください。
`Query` API イベントの場合:
+ すべてのイベントを受信する証跡を作成するか、Timestream for LiveAnalytics リソースタイプの `AWS::Timestream::Database` または `AWS::Timestream::Table` を使用してイベントを選択します。
+ データベースやテーブルにアクセスしない `Query` API リクエスト、または不正な形式のクエリ文字列が原因で検証の例外となる API リクエストは、リソースタイプ `AWS::Timestream::Database` と ARN 値として CloudTrail に記録されます。
```
arn:aws:timestream:(region):(accountId):database/NO_RESOURCE_ACCESSED
```
これらのイベントは、リソースタイプ `AWS::Timestream::Database` のイベントを受信する証跡にのみ配信されます。
# Amazon Timestream for LiveAnalytics のレジリエンス
AWS グローバルインフラストラクチャは、 AWS リージョンとアベイラビリティーゾーンを中心に構築されています。 AWS リージョンは、低レイテンシー、高スループット、高度に冗長なネットワークで接続された、物理的に分離された複数のアベイラビリティーゾーンを提供します。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェールオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、フォールトトレランス、および拡張性が優れています。
AWS リージョンとアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
で利用可能な Timestream のデータ保護機能の詳細については AWS Backup、「」を参照してください[の使用 AWS Backup](backups.md)。
# Amazon Timestream for LiveAnalytics のインフラストラクチャセキュリティ
マネージドサービスである Amazon Timestream Live Analytics は、ホワイトペーパー[「Amazon Web Services: セキュリティプロセスの概要](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)」に記載されている AWS グローバルネットワークセキュリティ手順で保護されています。
AWS 公開された API コールを使用して、ネットワーク経由で Timestream Live Analytics にアクセスします。クライアントで Transport Layer Security (TLS) 1.0 以降がサポートされている必要があります。TLS 1.2 以降が推奨されています。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。
また、リクエストにはアクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
Timestream Live Analytics は、Timestream Live Analytics インスタンスが存在する特定の AWS リージョンにトラフィックが分離されるように設計されています。
# Timestream での設定と脆弱性の分析
設定と IT コントロールは、 AWS とお客様の間の責任共有です。詳細については、 AWS [「 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)」を参照してください。責任共有モデルに加えて、Timestream for LiveAnalytics ユーザーは以下の点に留意する必要があります。
+ 関連するクライアント側の依存関係を使用して、クライアントアプリケーションにパッチを適用するのはお客様の責任です。
+ お客様は、該当する場合、侵入テストを検討することが推奨されます ([https://aws.amazon.com/security/penetration-testing/](https://aws.amazon.com/security/penetration-testing/) を参照)。
# Timestream for LiveAnalytics でのインシデント対応
Amazon Timestream for LiveAnalytics サービスインシデントは、[Personal Health Dashboard](https://phd.aws.amazon.com/phd/home#/) で報告されます。ダッシュボードの詳細については、 AWS Health [こちらを参照してください](https://docs.aws.amazon.com//health/latest/ug/what-is-aws-health.html)。
Timestream for LiveAnalytics は、 AWS CloudTrailを使用した報告をサポートしています。詳細については、「[を使用した LiveAnalytics API コールの Timestream のログ記録 AWS CloudTrail](logging-using-cloudtrail.md)」を参照してください。
# VPC エンドポイント (AWS PrivateLink)
VPC と Amazon Timestream for LiveAnalytics とのプライベート接続を確立するには、*インターフェイス VPC エンドポイント*を作成します。インターフェイスエンドポイントは、インターネットゲートウェイ[AWS PrivateLink](https://aws.amazon.com/privatelink)、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を使用せずに、LiveAnalytics APIs の Timestream にプライベートにアクセスできるテクノロジーである を利用しています。VPC のインスタンスは、パブリック IP アドレスがなくても Timestream for LiveAnalytics と通信できます。VPC と Timestream for LiveAnalytics 間のトラフィックは、Amazon ネットワークを離れません。
各インターフェースエンドポイントは、サブネット内の 1 つ以上の [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) によって表されます。インターフェイス VPC エンドポイントの詳細については、*「Amazon* [VPC ユーザーガイド」の「インターフェイス VPC エンドポイント (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)」を参照してください。
Timestream for LiveAnalytics と VPC エンドポイントの使用を開始するにあたり、VPC エンドポイントを使用した Timestream for LiveAnalytics の特定の考慮事項、Timestream for LiveAnalytics のインターフェイス VPC エンドポイントの作成、Timestream for LiveAnalytics の VPC エンドポイントポリシーの作成、VPC エンドポイントを使用した Timestream クライアント (Write または Query SDK のいずれか) の使用について説明しています。
**Topics**
+ [VPC エンドポイントと Timestream の連携方法](VPCEndpoints.vpc-endpoint-considerations.md)
+ [Timestream for LiveAnalytics 用のインターフェイス VPC エンドポイントの作成](VPCEndpoints.vpc-endpoint-create.md)
+ [Timestream for LiveAnalytics の VPC エンドポイントポリシーの作成](VPCEndpoints.vpc-endpoint-policy.md)
# VPC エンドポイントと Timestream の連携方法
Timestream Write SDK または Timestream Query SDK のいずれかにアクセスするための VPC エンドポイントを作成すると、すべてのリクエストは Amazon ネットワーク内のエンドポイントにルーティングされ、パブリックインターネットにはアクセスしません。具体的には、リクエストは、特定のリージョンでアカウントがマッピングされたセルの書き込みエンドポイントとクエリエンドポイントにルーティングされます。Timestream のセルラーアーキテクチャとセル固有のエンドポイントの詳細については、「[セルラーアーキテクチャ](architecture.md#cells)」を参照してください。例えば、アカウントが `us-west-2` で `cell1` にマッピングされ、書き込み (`ingest-cell1.timestream.us-west-2.amazonaws.com`) とクエリ (`query-cell1.timestream.us-west-2.amazonaws.com`) の VPC インターフェイスエンドポイントをセットアップしたとします。この場合、これらのエンドポイントを使用して送信された書き込みリクエストは Amazon ネットワーク内に完全に保持され、パブリックインターネットにはアクセスしません。
## Timestream VPC エンドポイントに関する考慮事項
Timestream の VPC エンドポイントを作成するときは、次の点を考慮してください。
+ Timestream for LiveAnalytics のインターフェイス VPC エンドポイントをセットアップする前に、「*Amazon VPC ユーザーガイド*」で[インターフェイスエンドポイントのプロパティと制限](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)を確認するようにしてください。
+ Timestream for LiveAnalytics は、VPC からの [API アクションすべて](https://docs.aws.amazon.com/timestream/latest/developerguide/API_Reference.html)の呼び出しをサポートしています。
+ VPC エンドポイントポリシーは、Timestream for LiveAnalytics でサポートされています。デフォルトで、エンドポイント経由での Timestream for LiveAnalytics への完全なアクセスが許可されています。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイントによるサービスのアクセスコントロール](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。
+ Timestream のアーキテクチャにより、書き込みアクションとクエリアクションの両方にアクセスするには、SDK ごとに 1 つずつ、2 つの VPC インターフェイスエンドポイントを作成する必要があります。さらに、セルエンドポイントを指定する必要があります (マッピング先の Timestream セルのエンドポイントのみを作成できます)。詳細については、このガイドの「[Timestream for LiveAnalytics 用のインターフェイス VPC エンドポイントの作成](VPCEndpoints.vpc-endpoint-create.md)」セクションを参照してください。
Timestream for LiveAnalytics が VPC エンドポイントとどのように連携するかを理解したら、[Timestream for LiveAnalytics 用のインターフェイス VPC エンドポイントを作成](VPCEndpoints.vpc-endpoint-create.md)します。
# Timestream for LiveAnalytics 用のインターフェイス VPC エンドポイントの作成
Amazon [VPC コンソールまたは () を使用して、Timestream for LiveAnalytics サービスのインターフェイス VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)を作成できますAWS CLI。 LiveAnalytics AWS Command Line Interface Timestream の VPC エンドポイントを作成するには、以下で説明する Timestream 固有の手順を実行します。
**注記**
次の手順を完了する前に、[Timestream VPC エンドポイント固有の考慮事項](VPCEndpoints.vpc-endpoint-considerations.md)を理解していることを確認してください。
## Timestream セルを使用して VPC エンドポイントサービス名を作成する
Timestream の一意のアーキテクチャにより、SDK (Write と Query) ごとに個別の VPC インターフェイスエンドポイントを作成する必要があります。さらに、Timestream セルエンドポイントを指定する必要があります (マッピング先の Timestream セルのエンドポイントのみを作成できます)。インターフェイス VPC エンドポイントを使用して VPC 内から Timestream に直接接続するには、次の手順を実行します。
1. まず、使用可能な Timestream セルエンドポイントを見つけます。使用可能なセルエンドポイントを見つけるには、[`DescribeEndpoints` アクション](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_DescribeEndpoints.html) (Write API と Query API の両方を通じて使用可能) を使用して、Timestream アカウントで使用可能なセルエンドポイントを一覧表示します。詳細については、[例](#VPCEndpoints.vpc-endpoint-create.vpc-endpoint-name.example)を参照してください。
1. 使用するセルエンドポイントを選択したら、Timestream Write API または Query API のいずれかの VPC インターフェイスエンドポイント文字列を作成します。
+ *Write API の場合:*
```
com.amazonaws..timestream.ingest-
```
+ *Query API の場合:*
```
com.amazonaws..timestream.query-
```
ここで、** は[有効な AWS リージョンコード](https://docs.aws.amazon.com/general/latest/gr/rande.html)で、** は [DescribeEndpoints アクション](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_DescribeEndpoints.html)によって [Endpoints オブジェクト](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_DescribeEndpoints.html#API_query_DescribeEndpoints_ResponseSyntax)で返されるセルエンドポイントアドレス ( `cell1`や など`cell2`) の 1 つです。詳細については、[例](#VPCEndpoints.vpc-endpoint-create.vpc-endpoint-name.example)を参照してください。
1. VPC エンドポイントサービス名を作成したら、[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)します。VPC エンドポイントサービス名を指定するように求められたら、ステップ 2 で作成した VPC エンドポイントサービス名を使用します。
### 例: VPC エンドポイントサービス名の作成
次の例では、 `us-west-2`リージョンの Write API AWS を使用して CLI で `DescribeEndpoints`アクションが実行されます。
```
aws timestream-write describe-endpoints --region us-west-2
```
このコマンドから次の出力が返されます。
```
{
"Endpoints": [
{
"Address": "ingest-cell1.timestream.us-west-2.amazonaws.com",
"CachePeriodInMinutes": 1440
}
]
}
```
この場合、*cell1* は *| * で、*us-west-2* は ** です。したがって、結果として作成される VPC エンドポイントサービス名は次のようになります。
```
com.amazonaws.us-west-2.timestream.ingest-cell1
```
Timestream for LiveAnalytics のインターフェイス VPC エンドポイントを作成したら、[Timestream for LiveAnalytics の VPC エンドポイントポリシーを作成](VPCEndpoints.vpc-endpoint-policy.md)します。
# Timestream for LiveAnalytics の VPC エンドポイントポリシーの作成
VPC エンドポイントには、Timestream for LiveAnalytics へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。
詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイントでサービスへのアクセスを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。
**例: Timestream for LiveAnalytics アクションの VPC エンドポイントポリシー**
Timestream for LiveAnalytics のエンドポイントポリシーの例を次に示します。このポリシーがエンドポイントにアタッチされると、全リソースの全プリンシパルに、リストされている Timestream for LiveAnalytics アクション (この場合、[https://docs.aws.amazon.com/timestream/latest/developerguide/API_ListDatabases.html](https://docs.aws.amazon.com/timestream/latest/developerguide/API_ListDatabases.html)) へのアクセス権が付与されます。
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"timestream:ListDatabases"
],
"Resource":"*"
}
]
}
```
# Amazon Timestream for LiveAnalytics のセキュリティのベストプラクティス
Amazon Timestream for LiveAnalytics には、独自のセキュリティポリシーを策定および実装する際に考慮すべきさまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを提供するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるため、処方箋ではなく、あくまで有用な検討事項とお考えください。
**Topics**
+ [Timestream for LiveAnalytics の予防的セキュリティのベストプラクティス](best-practices-security-preventative.md)
# Timestream for LiveAnalytics の予防的セキュリティのベストプラクティス
以下のベストプラクティスは、Timestream for LiveAnalytics のセキュリティインシデントの予測と予防に役立ちます。
**保管中の暗号化**
Timestream for LiveAnalytics では、[AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) に保存されている暗号化キーを使用して、テーブルに保存されているすべてのユーザーデータを保管中に暗号化します。この機能は、基になるストレージへの不正アクセスからデータを保護することによって、データ保護の追加レイヤーを提供します。
LiveAnalytics の Timestream は、単一のサービスのデフォルトキー (AWS 所有 CMK) を使用してすべてのテーブルを暗号化します。このキーがない場合は自動的に作成されます。サービスデフォルトキーは無効にできません。詳細については、[Timestream for LiveAnalytics の保管時の暗号化](https://docs.aws.amazon.com/mcs/latest/devguide/EncryptionAtRest.html)に関するドキュメントを参照してください。
**IAM ロールを使用して Timestream for LiveAnalytics へのアクセスを認証する**
ユーザー、アプリケーション、およびその他の AWS サービスが Timestream for LiveAnalytics にアクセスするには、 AWS API リクエストに有効な AWS 認証情報を含める必要があります。 AWS 認証情報をアプリケーションまたは EC2 インスタンスに直接保存しないでください。自動更新されない長期認証情報条件のため、漏洩すると業務に深刻な悪影響が及ぶ可能性があります。IAM ロールでは、 AWS サービスおよびリソースにアクセスするために使用できる一時的なアクセスキーを有効にすることができます。
詳細については、[「IAM ロール」](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)を参照してください。
**Timestream for LiveAnalytics のベース認可に IAM ポリシーを使用する**
権限を付与する場合、権限を取得するユーザー、取得する権限の対象となる Timestream for LiveAnalytics API、およびそれらのリソースに対して許可される特定のアクションを決定します。最小限の特権の実装は、セキュリティリスクはもちろん、エラーや悪意ある行動によってもたらされる可能性のある影響を減らす上での鍵となります。
IAM アイデンティティ (ユーザー、グループ、ロール) に権限ポリシーをアタッチし、Timestream for LiveAnalytics リソースでオペレーションを実行する権限を付与します。
これを行うには、次を使用します。
+ [AWS 管理 (事前定義) ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
+ [タグベースの認可](security_iam_service-with-iam.md#security_iam_service-with-iam-tags)
**クライアント側の暗号化を考慮する**
機密データを Timestream for LiveAnalytics に保存する場合は、データを可能な限り出所の近くで暗号化して、ライフサイクル全体にわたってデータを保護することを検討してください。転送中および保管時の機密データを暗号化することで、サードパーティーがプレーンテキストデータを使用できないようにします。 | | | |