翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Data Firehose のセキュリティのベストプラクティスを実装する
Amazon Data Firehose には、独自のセキュリティポリシーを策定および実装する際に考慮すべきさまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。
最小特権アクセスの実装
許可を付与する場合、どのユーザーにどの Amazon Data Firehose リソースに対する許可を付与するかは、お客様が決定します。これらのリソースで許可したい特定のアクションを有効にするのも、お客様になります。このため、タスクの実行に必要なアクセス許可のみを付与する必要があります。最小特権アクセスの実装は、セキュリティリスクと、エラーや悪意によってもたらされる可能性のある影響の低減における基本になります。
IAM ロールの使用
プロデューサーおよびクライアントアプリケーションには、Firehose ストリームにアクセスするために有効な認証情報が必要です。また、Firehose ストリームには、宛先にアクセスするための有効な認証情報が必要です。AWS認証情報は、クライアントアプリケーションまたは Amazon S3 バケットに直接保存しないでください。これらは自動的にローテーションされない長期的な認証情報であり、漏洩するとビジネスに大きな影響が及ぶ場合があります。
代わりに、IAM ロールを使用して、Firehose ストリームにアクセスするためのプロデューサーおよびクライアントアプリケーションの一時的な認証情報を管理してください。ロールを使用するときは、他のリソースにアクセスするために長期的な認証情報 (ユーザー名とパスワード、またはアクセスキーなど) を使用する必要がありません。
詳細については、「IAM ユーザーガイド」にある下記のトピックを参照してください。
依存リソースでのサーバー側の暗号化の実装
保管中のデータと転送中のデータは Amazon Data Firehose で暗号化できます。詳細については、「Amazon Data Firehose のデータ保護」を参照してください。
CloudTrail を使用して API コールをモニタリングする
Amazon Data Firehose はAWS CloudTrail、Amazon Data Firehose のユーザー、ロール、または のサービスによって実行されたアクションを記録するAWSサービスである と統合されています。
CloudTrail により収集された情報を使用して、Amazon Data Firehose に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエストが行われた日時、および追加の詳細を特定することができます。
詳細については、「AWS CloudTrail を使用して Amazon Data Firehose API コールをログ記録する」を参照してください。
