Amazon EventBridge でのデータ保護

AWS責任共有モデルは、Amazon EventBridge でのデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウドのすべてを実行するグローバルインフラストラクチャを保護するがあります。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーに関するよくある質問を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された AWS 責任共有モデルおよび GDPR のブログ記事を参照してください。

データを保護するため、「AWS アカウント」認証情報を保護し、「AWS IAM Identity Center」または「AWS Identity and Access Management」 (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

各アカウントで多要素認証 (MFA) を使用します。
SSL/TLS を使用して「AWS」リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
AWS CloudTrail で API とユーザーアクティビティロギングを設定します。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「AWS CloudTrail ユーザーガイド」の「CloudTrail 証跡の使用」を参照してください。
AWS のサービス内のすべてのデフォルトセキュリティコントロールに加え、AWS 暗号化ソリューションを使用します。
Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
コマンドラインインターフェイスまたは API を使用して「AWS」にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報は、タグ、または名前フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK で EventBridge または他の AWS のサービスを使用する場合も同様です。タグ、または名前に使用される自由形式のテキストフィールドに入力されるデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

EventBridge でのデータ暗号化

EventBridge は、保管中の暗号化と転送中の暗号化の両方を提供し、データを保護します。

保管中の暗号化

EventBridge は AWS Key Management Service (KMS) と統合して、保存されたデータを暗号化します。デフォルトでは、EventBridge は AWS 所有のキーを使用してデータを暗号化します。その代わりに、EventBridge が特定の機能に対しカスタマーマネージドキーを使用するよう指定することもできます。
転送中の暗号化

Eventbridge は、Transport layer Security (TLS) を使用して、Eventbridge と他のサービスの間を通過するデータを暗号化します。

イベントバスの場合、EventBridge へのイベント送信中や、EventBridgeからルールターゲットへのイベント送信時もこれに含まれます。

Amazon EventBridge での保管中の暗号化

EventBridge は、AWS Key Management Service (KMS) と統合することで、サーバー側の透過的暗号化を提供します。デフォルトでは、保管中のデータを暗号化することで、機密データの保護に伴う運用のオーバーヘッドと複雑な作業を軽減できます。同時に、セキュリティを重視したアプリケーションを構築することで、暗号化のコンプライアンスと規制の厳格な要件を満たすことができます。

デフォルトでは、EventBridge は AWS 所有のキーを使用してデータを暗号化します。その代わりに、EventBridge が特定のリソースに対しカスタマーマネージドキーを使用するよう指定することもできます。

次の表は、EventBridge が保管中に暗号化するアーティファクトをリソース別に一覧にしたものです。

リソース	詳細	AWS 所有のキー	カスタマーマネージドキー
API 送信先	接続承認パラメータは AWS Secrets Manager シークレットに保存されます。	サポート	サポート
アーカイブ		サポート	サポート
接続	接続承認パラメータは AWS Secrets Manager シークレットに保存されます。	サポート	サポート
イベントバス	含まれるもの: カスタムソースとパートナーソースからのイベントイベントデータには、イベントの `event-detail` 要素に含まれるすべてのフィールドが含まれます。 EventBridge はイベントメタデータを暗号化しません。ルールイベントパターン。入力、入力トランスフォーマー、設定パラメータなどのルールターゲット情報。イベントバスのログ記録の場合、ログレコードの「`detail`」セクションと「`error`」セクション。	サポート	サポート
パイプ	含まれるもの: イベントパターン入力トランスフォーマーログの実行データパイプを流れるイベントは、保存されることはありません。	サポート	サポート

重要

以下のアーティファクトは保管中に暗号化されないため、機密情報は決して保存しないことを強くお勧めします。

イベントバス名
ルール名
タグなどの共有リソース

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

セキュリティ

KMS キーオプション