でのデータ保護AWS Entity Resolution - AWS Entity Resolution
の保管時のデータ暗号化AWS Entity Resolutionキー管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのデータ保護AWS Entity Resolution

責任AWS共有モデル、 でのデータ保護に適用されますAWS Entity Resolution。このモデルで説明されているように、AWSはすべての を実行するグローバルインフラストラクチャを保護する責任がありますAWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーに関するよくある質問を参照してください。欧州でのデータ保護の詳細については、「AWSセキュリティブログ」に投稿された「AWS責任共有モデルおよび GDPR」のブログ記事を参照してください。

データ保護の目的で、認証情報を保護しAWS アカウント、AWS IAM アイデンティティセンターまたはAWS Identity and Access Management(IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用してAWSリソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。

  • で API とユーザーアクティビティのログ記録を設定しますAWS CloudTrail。CloudTrail 証跡を使用してAWSアクティビティをキャプチャする方法については、「 AWS CloudTrailユーザーガイド」のCloudTrail 証跡の使用」を参照してください。

  • AWS暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用しますAWS のサービス。

  • Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API AWSを介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソールAWS Entity Resolution、API、または SDK を使用してAWS CLIまたは他のAWS のサービスを操作する場合も同様です。AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

の保管時のデータ暗号化AWS Entity Resolution

AWS Entity Resolutionはデフォルトで暗号化を提供し、AWS所有の暗号化キーを使用して保管中の機密データを保護します。

AWS 所有キー – デフォルトでこれらのキーAWS Entity Resolutionを使用して、個人を特定できるデータを自動的に暗号化します。AWSが所有するキーを表示、管理、使用したり、その使用を監査したりすることはできません。ただし、データを暗号化するキーを保護するためにアクションを実行する必要はありません。詳細については、AWS Key Management Serviceデベロッパーガイド の「AWS 所有キー」を参照してください。

デフォルトでは、保管中のデータを暗号化することで、機密データの保護に伴う運用のオーバーヘッドと複雑な作業を軽減できます。同時に、これを使用して、厳格な暗号化コンプライアンスと規制要件を満たす安全なアプリケーションを構築できます。

または、一致するワークフローリソースを作成するときに、暗号化用のカスタマーマネージド KMS キーを指定することもできます。

カスタマーマネージドキー – 機密データの暗号化を許可するために作成、所有、管理する対称カスタマーマネージド KMS キーの使用AWS Entity Resolutionをサポートします。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。

  • キーポリシーの策定と維持

  • IAM ポリシーとグラントの策定と維持

  • キーポリシーの有効化と無効化

  • キー暗号化マテリアルのローテーション

  • タグの追加

  • キーエイリアスの作成

  • キー削除のスケジュール設定

詳細については、「 AWS Key Management Serviceデベロッパーガイド」の「カスタマーマネージドキー」を参照してください。

詳細についてはAWS KMS、AWS Key Management Service とは」を参照してください。

キー管理

で 許可AWS Entity Resolutionを使用する方法AWS KMS

AWS Entity Resolutionには、カスタマーマネージドキーを使用するための許可が必要です。カスタマーマネージドキーで暗号化された一致するワークフローを作成すると、 は CreateGrant リクエストを送信してユーザーに代わって許可AWS Entity Resolutionを作成しますAWS KMS。の権限AWS KMSは、カスタマーアカウントの KMS キーAWS Entity Resolutionへのアクセスを許可するために使用されます。 では、次の内部オペレーションでカスタマーマネージドキーを使用するには権限AWS Entity Resolutionが必要です。

  • GenerateDataKey リクエストを に送信AWS KMSして、カスタマーマネージドキーによって暗号化されたデータキーを生成します。

  • Decrypt リクエストを送信AWS KMSして、暗号化されたデータキーを復号し、データの暗号化に使用できるようにします。

グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。その場合、カスタマーマネージドキーによって暗号化されたデータにはアクセスAWS Entity Resolutionできず、そのデータに依存するオペレーションに影響します。たとえば、グラントを通じてキーへのサービスアクセスを削除し、カスタマーキーで暗号化された一致するワークフローのジョブを開始しようとすると、オペレーションはAccessDeniedExceptionエラーを返します。

カスタマーマネージドキーの作成

対称カスタマーマネージドキーを作成するにはAWS マネジメントコンソール、、、またはAWS KMS APIsを使用します。

対称カスタマーマネージドキーを作成するには

AWS Entity Resolutionは、対称暗号化 KMS キーを使用した暗号化をサポートしています。「AWS Key Management Serviceデベロッパーガイド」にある「対称カスタマーマネージドキーの作成」ステップに従います。

キーポリシーステートメント

キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマーマネージドキーを作成する際に、キーポリシーを指定することができます。詳細については、「 AWS Key Management Serviceデベロッパーガイド」の「カスタマーマネージドキーへのアクセスの管理」を参照してください。

AWS Entity Resolutionリソースでカスタマーマネージドキーを使用するには、キーポリシーで次の API オペレーションを許可する必要があります。

  • kms:DescribeKey – キー ARN、作成日 (該当する場合は削除日)、キーの状態、キーマテリアルのオリジンと有効期限 (存在する場合) などの情報を提供します。これには、さまざまなタイプの KMS キーを区別するのに役立つ KeySpecなどのフィールドが含まれています。また、キーの使用状況 (暗号化、署名、または MACs の生成と検証) と、KMS キーがサポートするアルゴリズムも表示されます。 KeySpecSYMMETRIC_DEFAULTで、 KeyUsage は であることをAWS Entity Resolution検証しますENCRYPT_DECRYPT

  • kms:CreateGrant - カスタマーマネージドキーに許可を追加します。指定された KMS キーへのアクセスを制御する権限を付与します。これにより、必要な権限付与オペレーションAWS Entity Resolutionへのアクセスが可能になります。詳細については、「AWS Key Management Serviceデベロッパーガイド」の「AWS KMS でのグラント」を参照してください。

これにより、AWS Entity Resolutionは以下を実行できます。

  • GenerateDataKey を呼び出して、暗号化されたデータキーを生成して保存します。データキーは暗号化にすぐには使用されないからです。

  • Decrypt を呼び出して、保存された暗号化データキーを使用して暗号化データにアクセスします。

  • RetireGrant へのサービスを許可するために、削除プリンシパルを設定します。

追加できるポリシーステートメントの例を次に示しますAWS Entity Resolution。

{
      "Sid" : "Allow access to principals authorized to use AWS Entity Resolution",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : ["kms:DescribeKey","kms:CreateGrant"],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "entityresolution.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
      }
}

ユーザーのアクセス許可

暗号化のデフォルトキーとして KMS キーを設定すると、デフォルトの KMS キーポリシーでは、必要な KMS アクションにアクセスできるすべてのユーザーがこの KMS キーを使用してリソースを暗号化または復号できます。カスタマーマネージド KMS キー暗号化を使用するには、次のアクションを呼び出すアクセス許可をユーザーに付与する必要があります。

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

CreateMatchingWorkflow リクエスト中、AWS Entity ResolutionはAWS KMSユーザーに代わって DescribeKeyCreateGrant リクエストを に送信します。これには、カスタマーマネージド KMS キーを使用してCreateMatchingWorkflowリクエストを行う IAM エンティティが KMS キーポリシーに対するkms:DescribeKeyアクセス許可を持っている必要があります。

CreateIdMappingWorkflow および StartIdMappingJobリクエスト中、AWS Entity ResolutionはAWS KMSユーザーに代わって DescribeKeyCreateGrant リクエストを に送信します。これには、 を行う IAM エンティティCreateIdMappingWorkflowと、カスタマーマネージド KMS キーを使用して KMS キーポリシーに対するkms:DescribeKeyアクセス許可をStartIdMappingJobリクエストする必要があります。プロバイダーは、カスタマーマネージドキーにアクセスしてAWS Entity Resolution Amazon S3 バケット内のデータを復号化できます。

以下は、Amazon AWS Entity Resolution Amazon S3 バケット内のデータを復号するためにプロバイダーに追加できるポリシーステートメントの例です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::715724997226:root" 
        },
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
        "Condition": {
            "StringEquals": {
            "kms:ViaService": "s3.us-east-1.amazonaws.com"
            }
        }
    }]
}

<ユーザー入力プレースホルダー> を独自の情報に置き換えます。

<KMSKeyARN> AWS KMS Amazon Resource Name.

同様に、StartMatchingJobAPI を呼び出す IAM エンティティには、一致するワークフローで提供されるカスタマーマネージド KMS キーに対する kms:Decryptおよび アクセスkms:GenerateDataKey許可が必要です。

ポリシーでアクセス許可を指定する方法の詳細については、AWS Key Management Serviceデベロッパーガイド」を参照してください。

キーアクセスのトラブルシューティングの詳細については、 AWS Key Management Serviceデベロッパーガイドを参照してください。

のカスタマーマネージドキーの指定AWS Entity Resolution

カスタマーマネージドキーは、以下のリソースの第 2 レイヤー暗号化として指定できます。

ワークフローの一致 – 一致するワークフローリソースを作成するときに、KMSArn を入力してデータキーを指定できます。KMSArn は、AWS Entity Resolutionを使用して、リソースに保存されている識別可能な個人データを暗号化します。

KMSArn –AWS KMSカスタマーマネージドキーのキー識別子であるキー ARN を入力します。

2 つの で ID マッピングワークフローを作成または実行している場合、カスタマーマネージドキーを次のリソースの 2 番目のレイヤー暗号化として指定できますAWS アカウント。

ID マッピングワークフローまたは ID マッピングワークフローの開始 – ID マッピングワークフローリソースを作成するとき、または ID マッピングワークフロージョブを開始するときに、KMSArn を入力してデータキーを指定できます。KMSArn は、AWS Entity Resolutionを使用して、リソースに保存されている識別可能な個人データを暗号化します。

KMSArn –AWS KMSカスタマーマネージドキーのキー識別子であるキー ARN を入力します。

Service のAWS Entity Resolution暗号化キーのモニタリング

AWS Entity ResolutionサービスリソースでAWS KMSカスタマーマネージドキーを使用する場合、AWS CloudTrail または Amazon CloudWatch Logs を使用して、 がAWS Entity Resolutionに送信するリクエストを追跡できますAWS KMS。

次の例はCreateGrant、カスタマーマネージドキーによって暗号化されたデータにアクセスDescribeKeyするために によって呼び出されるAWS KMSオペレーションをモニタリングAWS Entity Resolutionするための GenerateDataKeyDecrypt、、および のAWS CloudTrailイベントです。

CreateGrant

AWS KMSカスタマーマネージドキーを使用して一致するワークフローリソースを暗号化すると、 はユーザーに代わって の KMS キーにアクセスするCreateGrantリクエストAWS Entity Resolutionを送信しますAWS アカウント。がAWS Entity Resolution作成する権限は、AWS KMSカスタマーマネージドキーに関連付けられたリソースに固有です。さらに、 RetireGrantオペレーションAWS Entity Resolutionを使用して、リソースを削除するときに許可を削除します。

次に、CreateGrant オペレーションを記録するイベントの例を示します。


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "entityresolution.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "entityresolution.region.amazonaws.com",
        "operations": [
            "GenerateDataKey",
            "Decrypt",
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "granteePrincipal": "entityresolution.region.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

DescribeKey

AWS Entity Resolutionは DescribeKeyオペレーションを使用して、一致するリソースに関連付けられたAWS KMSカスタマーマネージドキーがアカウントとリージョンに存在するかどうかを確認します。

以下のイベント例では DescribeKey オペレーションを記録しています。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "entityresolution.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

GenerateDataKey

一致するワークフローリソースのAWS KMSカスタマーマネージドキーを有効にすると、 は Amazon Simple Storage Service (Amazon S3) を介して、AWS KMSリソースのAWS KMSカスタマーマネージドキーを指定するGenerateDataKeyリクエストをAWS Entity Resolutionに送信します。

以下のイベント例では GenerateDataKey オペレーションを記録しています。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "s3.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}

Decrypt

一致するワークフローリソースのAWS KMSカスタマーマネージドキーを有効にすると、 は Amazon Simple Storage Service (Amazon S3) を介して、リソースのAWS KMSカスタマーマネージドキーAWS KMSを指定するDecryptリクエストをAWS Entity Resolutionに送信します。

以下のイベント例では Decrypt オペレーションを記録しています。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "s3.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:10:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}

考慮事項

AWS Entity Resolutionは、新しいカスタマーマネージド KMS キーを使用したマッチングワークフローの更新をサポートしていません。このような場合は、カスタマーマネージド KMS キーを使用して新しいワークフローを作成できます。

詳細はこちら

次のリソースは、保管時のデータ暗号化についての詳細を説明しています。

AWS Key Management Service の基本概念の詳細については、「 AWS Key Management Serviceデベロッパーガイド」を参照してください。

AWS Key Management Service のセキュリティのベストプラクティスの詳細についてはAWS Key Management Serviceデベロッパーガイドを参照してください。