Amazon FSx for NetApp ONTAP におけるデータ保護

AWS 責任共有モデル は、Amazon FSx for NetApp ONTAP ではデータ保護のために適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護する責任を担います。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーに関するよくある質問を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された AWS 責任共有モデルおよび GDPR のブログ記事を参照してください。

データを保護するため、「AWS アカウント」 認証情報を保護し、「AWS IAM Identity Center」 または 「AWS Identity and Access Management」 (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これには、コンソール、API、AWS CLI、または AWS SDK を使用して Amazon FSx またはその他の AWS のサービス で作業する場合が含まれます。タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

FSx for ONTAP でのデータ暗号化

Amazon FSx for NetApp ONTAP では、保管中のデータの暗号化と転送中のデータの暗号化がサポートされています。保管中のデータの暗号化は、Amazon FSx ファイルシステムの作成時に自動的に有効になります。Amazon FSx for NetApp ONTAP は、Active Directory に結合しているか、Lightweight Directory Access Protocol (LDAP) を使用するドメインに結合している Storage Virtual Machine (SVM) 内のデータにアクセスする場合、NFS および SMB プロトコル経由で転送中の Kerberos ベースの暗号化をサポートします。

暗号化を使用するタイミング

ユーザーの組織が、保管中のデータとメタデータの暗号化が必要な企業または規制ポリシーの対象となる場合は、データは保管中に自動的に暗号化されます。また、転送中のデータの暗号化を使用してファイルシステムをマウントすることにより転送中のデータの暗号化を有効にすることも、推奨されています。

Amazon FSx for NetApp ONTAP によるデータ暗号化の詳細については、「保管中のデータの暗号化」および「転送中のデータの暗号化」を参照してください。