翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon DevOps Guru のデータ保護
<a name="data-protection"></a>

 AWS [責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon DevOps Guru でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+  AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して DevOps Guru AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

## DevOps Guru のデータ暗号化
<a name="security-encryption"></a>

暗号化は DevOps Guru のセキュリティの重要な部分です。一部の暗号化 (転送中のデータの暗号化など) はデフォルトで提供されるため、特に操作は必要ありません。その他の暗号化 (保管中のデータの暗号化など) については、プロジェクトまたはビルドの作成時に設定できます。
+  **転送時のデータの暗号化** - お客様と DevOps Guru の間、および DevOps Guru とそのダウンストリーム依存関係の間のすべての通信は、TLS 接続を使用して保護され、署名バージョン 4 署名プロセスで認証されます。すべての DevOps Guru エンドポイントは、 によって管理される証明書を使用します AWS Private Certificate Authority。詳細については、「[署名バージョン 4 の署名プロセス](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)」および「[ACM PCA とは](https://docs.aws.amazon.com/privateca/latest/userguide/)」を参照してください。
+ **保管時のデータの暗号化**: DevOps Guru によって分析されたすべての AWS リソースについて、Amazon CloudWatch メトリクスとデータ、リソース IDs、 AWS CloudTrail イベントは Amazon S3、Amazon DynamoDB、Amazon Kinesis を使用して保存されます。 CloudFormation スタックを使用して分析されたリソースを定義する場合、スタックデータも収集されます。DevOps Guru は、Amazon S3、DynamoDB、および Kinesis のデータ保持ポリシーを使用します。Kinesis に保存されたデータは、設定されているポリシーに応じて、最大 1 年間保持できます。Amazon S3 および DynamoDB に保存されたデータは 1 年間保存されます。

  保存されたデータは、Amazon S3、DynamoDB、および Kinesis の保管中のデータ暗号化機能を使用して暗号化されます。

  **カスタマーマネージドキー**: DevOps Guru は、顧客コンテンツと、CloudWatch Logs から生成されたログ異常などの機密メタデータをカスタマーマネージドキーで暗号化することをサポートしています。この機能では、組織のコンプライアンスや規制要件を満たすのに役立つセルフマネージドのセキュリティレイヤーを追加することができます。DevOps Guru 設定でカスタマーマネージドキーを有効にする方法については、[DevOps Guru の暗号化設定を更新する](update-settings.md#update-encryption) を参照してください。

  この暗号化レイヤーを完全に制御できるため、次のようなタスクを実行できます。
  + キーポリシーの策定と維持
  + IAM ポリシーとグラントの策定と維持
  + キーポリシーの有効化と無効化
  + キー暗号化マテリアルのローテーション
  +  タグを追加する
  + キーエイリアスの作成
  + 削除のためのキースケジューリング

  詳細については、「 AWS Key Management Service デベロッパーガイド」の[「カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。
**注記**  
DevOps Guru は AWS 、所有キーを使用して保管時の暗号化を自動的に有効にし、機密性の高いメタデータを無料で保護します。ただし、カスタマーマネージドキーの使用には AWS KMS 料金が適用されます。料金の詳細については、「 の AWS Key Management Service 料金」を参照してください。

## DevOps Guru が で許可を使用する方法 AWS KMS
<a name="kms-grants"></a>

DevOps Guru でカスタマーマネージドキーを使用するには許可が必要です。

カスタマーマネージドキーによる暗号化を有効にすると、DevOps Guru は CreateGrant リクエストを AWS KMSに送信することで、ユーザーに代わって付与すべき許可を作成します。の権限 AWS KMS は、DevOps Guru に顧客アカウントの AWS KMS キーへのアクセスを許可するために使用されます。

DevOps Guru は、次の内部操作にカスタマーマネージドキーを使用するための許可を必要とします。
+ DescribeKey リクエストを に送信 AWS KMS して、トラッカーまたはジオフェンスコレクションの作成時に入力された対称カスタマーマネージド KMS キー ID が有効であることを確認します。
+ GenerateDataKey リクエストを に送信 AWS KMS して、カスタマーマネージドキーによって暗号化されたデータキーを生成します。
+ に Decrypt リクエストを送信 AWS KMS して、暗号化されたデータキーを復号し、データの暗号化に使用できます。

グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。これを行うと、DevOps Guru はカスタマーマネージドキーによって暗号化されたすべてのデータにアクセスできなくなり、そのデータに依存しているオペレーションが影響を受けます。例えば、DevOps Guru がアクセスできない暗号化されたログ異常情報を取得しようとすると、その操作は AccessDeniedException エラーを返します。

## DevOps Guru での暗号化キーのモニタリング
<a name="kms-monitoring"></a>

DevOps Guru リソースで AWS KMS カスタマーマネージドキーを使用する場合、 AWS CloudTrail または CloudWatch Logs を使用して、DevOps Guru が送信するリクエストを追跡できます AWS KMS。

## カスタマーマネージドキーを作成する
<a name="kms-create-customer-managed-key"></a>

対称カスタマーマネージドキーは、 AWS マネジメントコンソール または AWS KMS APIs を使用して作成できます。

対称型のカスタマーマネージドキーを作成するには、「[対称暗号化 KMS キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)」を参照してください。

### キーポリシー
<a name="kms-create-key-policy"></a>

キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。キーポリシーは、カスタマーマネージドキーの作成時に指定できます。詳細については、「 AWS Key Management Service デベロッパーガイド」の[「 の認証とアクセスコントロール AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)」を参照してください。

DevOps Guru リソースでカスタマーマネージドキーを使用するには、キーポリシーで次の API オペレーションを許可する必要があります。
+ `kms:CreateGrant` - カスタマーマネージドキーに許可を追加します。指定された AWS KMS キーへのアクセスを制御する権限を付与します。これにより、DevOps Guru が必要とするオペレーションを付与するためのアクセスが許可されます。権限の使用の詳細については、「 AWS Key Management Service デベロッパーガイド」を参照してください。

これにより、DevOps Guru は次のことを実行できるようになります。
+ GenerateDataKey を呼び出すと、暗号化されたデータキーを生成して保存できます。データキーは暗号化にすぐには使用されないからです。
+ Decrypt を呼び出すと、保存されている暗号化データキーを使用して暗号化されたデータにアクセスできます。
+ サービスが RetireGrant にアクセスできるように、廃止するプリンシパルを設定します。
+ kms: DescribeKey を使用してカスタマーマネージドキーの詳細を提供し、DevOps Guru がキーを検証できるようにします。

次のステートメントには、DevOps Guru に追加できるポリシーステートメントの例が含まれています。

```
  "Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to use DevOps Guru",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "devops-guru.Region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
      "Sid" : "Allow read-only access to key metadata to the account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::111122223333:root"
      },
      "Action" : [ 
        "kms:Describe*",
        "kms:Get*",
        "kms:List*"
      ],
      "Resource" : "*"
    }
  ]
```

## トラフィックのプライバシー
<a name="security-traffic-privacy"></a>

 インターフェイス VPC エンドポイントを使用するように DevOps Guru を設定することで、リソース分析およびインサイト生成のセキュリティを強化できます。これを行う場合、インターネットゲートウェイ、NAT デバイス、または仮想プライベートゲートウェイは必要ありません。また、PrivateLink の設定も必須ではありません (ただし、お勧めします)。詳細については、「[DevOps Guru とインターフェイス VPC エンドポイント (AWS PrivateLink)](vpc-interface-endpoints.md)」を参照してください。PrivateLink および VPC エンドポイントの詳細については、「[AWS PrivateLink](https://aws.amazon.com/privatelink/)」と「[PrivateLink を介した AWS のサービスへのアクセス](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html#what-is-privatelink)」を参照してください。