AWS Audit Managerは新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「AWS Audit Manager 可用性の変更」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でのデータ保護AWS Audit Manager
AWS 責任共有モデル
データ保護の目的で、認証情報を保護しAWS アカウント、 AWS IAM アイデンティティセンターまたは AWS Identity and Access Management(IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
-
各アカウントで多要素認証 (MFA) を使用します。
-
SSL/TLS を使用して AWSリソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
-
で API とユーザーアクティビティのログ記録を設定しますAWS CloudTrail。CloudTrail 証跡を使用してAWSアクティビティをキャプチャする方法については、「 AWS CloudTrailユーザーガイド」のCloudTrail 証跡の使用」を参照してください。
-
AWS暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用しますAWS のサービス。
-
Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
-
コマンドラインインターフェイスまたは API AWSを介して にアクセスするときに FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3
」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Audit Manager AWS CLIまたは他のAWS のサービス を使用する場合も同様です。AWSSDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
上記の推奨事項に加えて、Audit Manager のお客様には、評価、カスタムコントロール、カスタムフレームワーク、および委任コメントを作成する際に、自由形式のフィールドに機密性の高い識別情報を含めないことを特に推奨します。
Audit Manager のデータの削除
Audit Manager のデータを削除するにはいくつか方法があります。
Audit Manager を無効にする場合のデータ削除
Audit Manager を無効にする場合、Audit Manager のデータをすべて削除するかどうかを決定できます。データを削除することを選択した場合、Audit Manager を無効にしてから 7 日以内に削除されます。データを削除すると、復元することはできません。
データの自動削除
Audit Manager のデータの一部は、特定の期間が経過すると自動的に削除されます。Audit Manager は、以下のように顧客データを保持します。
| データ型 | データ保持期間 | 注意事項 |
|---|---|---|
|
証拠 |
データは作成時から 2 年間保存されます |
自動証拠と手動証拠が含まれます |
|
顧客が作成したリソース |
データは無期限に保持されます |
評価、評価レポート、カスタムコントロール、カスタムフレームワークが含まれます |
手動データ削除
個々のAudit Manager リソースはいつでも削除できます。手順については、以下を参照してください。
-
-
AWS Audit Manager API リファレンスの DeleteAssessment も参照してください
-
-
でのカスタムフレームワークの削除 AWS Audit Manager
-
AWS Audit Manager API リファレンスの DeleteAssessmentFramework も参照してください
-
-
での共有リクエストの削除 AWS Audit Manager
-
AWS Audit Manager API リファレンスのDeleteAssessmentFrameworkShare も参照してください
-
-
-
AWS Audit Manager API リファレンスの DeleteAssessmentReport も参照してください
-
-
でのカスタムコントロールの削除 AWS Audit Manager
-
AWS Audit Manager API リファレンスの DeleteControl も参照してください
-
Audit Manager の使用時に作成した他のリソースデータを削除するには、以下を参照してください
-
AWS CloudTrail ユーザーガイドの「イベントデータストアを削除する」
-
Amazon Simple Storage Service (Amazon S3)ユーザーガイドのバケットキーを削除する
保管中の暗号化
保管中のデータを暗号化するために、Audit Manager はすべてのデータストアとログAWS マネージドキーに対して でサーバー側の暗号化を使用します。
選択した設定に応じてAWS 所有のキー、データはカスタマーマネージドキーまたは で暗号化されます。カスタマーマネージドキーを指定しない場合、Audit Manager は AWS 所有のキーを使用してコンテンツを暗号化します。Audit Manager の DynamoDB と Amazon S3 のすべてのサービスメタデータは、AWS 所有のキー を使用して暗号化されます。
Audit Manager は次のようにデータを暗号化します。
-
Amazon S3 に保存されているサービスメタデータは、SSE-KMS AWS 所有のキーを使用して で暗号化されます。
-
DynamoDB に保存されているサービスメタデータは、KMS と AWS 所有のキー を使用してサーバー側で暗号化されています。
-
DynamoDB に保存されているコンテンツは、カスタマーマネージドキーまたは AWS 所有のキー を使用してクライアント側で暗号化されます。KMS キーは、選択した設定に基づきます。
-
Audit Manager の Amazon S3 に保存されているコンテンツは、SSE-KMS を使用して暗号化されます。KMS キーは選択に基づいており、カスタマーマネージドキーまたは AWS 所有のキー のいずれかです。
-
S3 バケットに発行された評価レポートは、次のように暗号化されます。
-
カスタマーマネージドキーを提供した場合、データは SSE-KMS を使用して暗号化されます。
-
を使用した場合AWS 所有のキー、データは SSE-S3 を使用して暗号化されます。
-
転送中の暗号化
Audit Manager は、転送中のデータを暗号化するための安全なプライベートエンドポイントを提供します。セキュアエンドポイントとプライベートエンドポイントによりAWS、 は Audit Manager への API リクエストの整合性を保護できます。
サービス間トランジット
デフォルトでは、すべてのサービス間通信は、Transport Layer Security (TLS) 暗号化を使用して保護されます。
キー管理
Audit Manager はAWS 所有のキー、すべての Audit Manager リソース (アカウント内の S3 バケットに保存された評価、コントロール、フレームワーク、証拠、および評価レポート) を暗号化するための とカスタマーマネージドキーの両方をサポートします。
カスタマーマネージドキーを使用することをお勧めします。これにより、AWS CloudTrail での使用のログの表示など、データを保護する暗号化キーを表示および管理できます。カスタマーマネージドキーを選択する際に、Audit Manager は、コンテンツの暗号化に使用できるように、KMS キーの付与を作成します。
警告
Audit Manager リソースの暗号化に使用される KMS キーを削除または無効にすると、その KMS キーで暗号化されたリソースを復号できなくなります。つまり、データを回復できなくなります。
AWS Key Management Service(AWS KMS) で KMS キーを削除すると、破壊的であり、潜在的に危険です。KMS キーの削除の詳細については、AWS Key Management Service ユーザーガイドの「AWS KMS keys の削除」を参照してください。
Audit Manager を有効にするときに、、Audit Manager APIAWS マネジメントコンソール、または AWS Command Line Interface() を使用して暗号化設定を指定できますAWS CLI。手順については、「の有効化AWS Audit Manager」を参照してください。
暗号化設定はいつでも確認および変更できます。手順については、「データ暗号化の設定」を参照してください。
カスタマーマネージドキーの設定方法の詳細については、AWS Key Management Service ユーザーガイドの「キーの作成」を参照してください。