翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Direct Connect 内のインフラストラクチャセキュリティ
<a name="infrastructure-security"></a>

マネージドサービスである AWS Direct Connect は AWS グローバルネットワークセキュリティ手順で保護されています。AWS が公開している API コールを使用して、ネットワーク経由で Direct Connect にアクセスします。クライアントで Transport Layer Security (TLS) 1.2 以降がサポートされている必要があります。TLS 1.3 をお勧めします。また、一時的ディフィー・ヘルマン Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

また、リクエストにはアクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

これらの API オペレーションは任意のネットワークの場所から呼び出すことができますが、Direct Connect ではリソースベースのアクセスポリシーがサポートされています。これには送信元 IP アドレスに基づく制限を含めることができます。また、Direct Connect ポリシーを使用して、特定の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントあるいは特定の VPC からのアクセスを制御することもできます。これにより、実質的に Direct Connect ネットワーク内の特定の VPC からの特定の AWS リソースへのネットワークアクセスが分離されます。例については、「[Direct Connect アイデンティティベースのポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。

## ボーダーゲートウェイプロトコル (BGP) セキュリティ
<a name="security-bgp"></a>

インターネットは、ネットワークシステム間で情報をルーティングするために BGP に大きく依存しています。BGP ルーティングは、悪意のある攻撃や BGP ハイジャックの影響を受けることがあります。AWS がネットワークを BGP ハイジャックからより安全に保護する方法を理解するには、「[AWS がインターネットルーティングの保護に役立っている方法](https://aws.amazon.com/blogs/networking-and-content-delivery/how-aws-is-helping-to-secure-internet-routing)」を参照してください。