Amazon Aurora DSQL でのデータ保護 - Amazon Aurora DSQL
データ暗号化監視リージョンでのデータ保護

Amazon Aurora DSQL でのデータ保護

責任共有モデルは、データ保護に適用されます。このモデルで説明されているように、AWS クラウドのすべてを実行するグローバルインフラストラクチャを保護する責任があります。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーに関するよくある質問を参照してください。欧州でのデータ保護の詳細については、 セキュリティブログに投稿された「 責任共有モデルおよび GDPR」ブログを参照してください。

データを保護するため、認証情報を保護し、AWS IAM Identity Center または AWS Identity and Access Management を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。

  • AWS CloudTrail で API とユーザーアクティビティロギングを設定します。証跡を使用してアクティビティをキャプチャする方法については、「ユーザーガイド」の「Working with trails」を参照してください。

  • AWS のサービス内のすべてのデフォルトセキュリティコントロールに加え、暗号化ソリューションを使用します。

  • Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、AWS CLI、または ‬AWS SDK を使用して操作する場合も同様です。タグ、または名前に使用される自由形式のテキストフィールドに入力されるデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

データ暗号化

Amazon Aurora DSQL は、ミッションクリティカルで重要なデータストレージのために設計された、高い耐久性を備えたストレージインフラストラクチャです。データは、冗長性を確保するため、同一の Aurora DSQL リージョン内の複数施設に分散した複数のデバイスに保存されます。

転送中の暗号化

デフォルトでは、転送中の暗号化が設定されます。Aurora DSQL は TLS を使用して、SQL クライアントと Aurora DSQL 間のすべてのトラフィックを暗号化します。

AWS CLI、SDK、または API クライアントと Aurora DSQL エンドポイントの間で転送中のデータの暗号化と署名

  • Aurora DSQL には、転送中のデータを暗号化するための HTTP エンドポイントが用意されています。

  • Aurora DSQL への API 要求の整合性を保護するには、API コールが呼び出し元によって署名されている必要があります。呼び出しは、署名バージョン 4 の署名プロセス (Sigv4) に従って、X.509 証明書またはお客様の AWS シークレットアクセスキーを使用して署名される必要があります。詳細については、https://docs.aws.amazon.com/general/latest/gr/signature-version-4.htmlの「AWS 全般のリファレンス署名バージョン 4 の署名プロセス」を参照してください。

  • AWS CLI または AWS SDK の 1 つを使用して、 AWSに要求を送信します。これらのツールで、設定時に指定されたアクセスキーを使用すると、自動的に要求に署名されます。

FIPS 準拠

Aurora DSQL データプレーンエンドポイント (データベース接続に使用されるクラスターエンドポイント) は、デフォルトで FIPS 140-2 検証済み暗号化モジュールを使用します。クラスター接続に個別の FIPS エンドポイントは必要ありません。

コントロールプレーンオペレーションの場合、Aurora DSQL はサポートされているリージョン専用の FIPS エンドポイントを提供します。コントロールプレーン FIPS エンドポイントの詳細については、「AWS 全般のリファレンス」の「Aurora DSQL endpoints and quotas」を参照してください。

保管中の暗号化については、「Aurora DSQL での保管中の暗号化」を参照してください。

ネットワーク間トラフィックのプライバシー

接続は、Aurora DSQL とオンプレミスのアプリケーション間、および Aurora DSQL と、同じ AWS リージョン内の他の AWS リソース間で保護されます。

プライベートネットワークと AWS との間には 2 つの接続オプションがあります

AWS が公開する API オペレーションを使用することにより、ネットワークを通じて、Aurora DSQL へのアクセスを取得できます。クライアントは以下をサポートする必要があります。

  • Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。

  • DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。

監視リージョンでのデータ保護

マルチリージョンクラスターを作成すると、監視リージョンは、暗号化されたトランザクションの同期レプリケーションに参加することで、自動障害復旧を有効にするのに役立ちます。ピア接続されたクラスターが使用できなくなっても、監視リージョンは引き続きデータベースの書き込みを検証して処理できるため、可用性が失われることはありません。

監視リージョンは、次の設計機能を通じてデータを保護します。

  • 監視リージョンは、暗号化されたトランザクションログのみを受信して保存します。暗号化キーをホスト、保存、または送信することはありません。

  • 監視リージョンは、書き込みトランザクションのログ記録とクォーラム機能のみを行います。設計上、データを読み取ることはできません。

  • 監視リージョンは、クラスター接続エンドポイントまたはクエリプロセッサなしで動作します。これにより、ユーザーデータベースへのアクセスが防止されます。

監視リージョンの詳細については、「マルチリージョンクラスターの設定」を参照してください。