翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Keyspaces の予防的セキュリティベストプラクティス
セキュリティに関する以下のベストプラクティスは、Amazon Keyspaces でのセキュリティインシデントの予測と予防に役立ちます。
- 保管データ暗号化を使用する
-
Amazon Keyspaces では、テーブルに保管されているすべてのユーザーデータに対して、AWS Key Management Service (AWS KMS)
に保存されている暗号化キーを使用して保管データ暗号化が行われます。この機能は、基になるストレージへの不正アクセスからデータを保護することによって、データ保護の追加レイヤーを提供します。 デフォルトでは、Amazon Keyspaces はすべてのテーブルを暗号化 AWS 所有のキー するために を使用します。このキーは、存在しなければ自動的に作成されます。サービスデフォルトキーは無効にできません。
代わりに、カスタマーマネージドキーを保管データ暗号化に使用できます。詳細については、「Amazon Keyspaces Encryption at Rest」(Amazon Keyspaces の保管データ暗号化) を参照してください。
- IAM ロールを使用して Amazon Keyspaces へのアクセスを認証する
-
ユーザー、アプリケーション、およびその他の AWS サービスが Amazon Keyspaces にアクセスするには、 AWS API リクエストに有効な AWS 認証情報を含める必要があります。 AWS 認証情報をアプリケーションまたは EC2 インスタンスに直接保存しないでください。自動更新されない長期認証情報条件のため、漏洩すると業務に深刻な悪影響が及ぶ可能性があります。IAM ロールでは、 AWS サービスおよびリソースにアクセスするために使用できる一時的なアクセスキーを有効にすることができます。
詳細については、「IAM ロール」を参照してください。
- IAM ポリシーを使用して Amazon Keyspaces ベースの認可を行う
-
許可を付与する場合、許可を取得するユーザー、取得する許可の対象となる Amazon Keyspaces、およびそれらのリソースに対して許可される特定のアクションを決定します。最小特権の実装は、セキュリティリスクはもちろん、エラーや悪意ある行動によってもたらされる可能性のある影響を減らす上での鍵となります。
IAM アイデンティティ (ユーザー、グループ、ロール) にアクセス権限ポリシーをアタッチし、Amazon Keyspaces リソースでオペレーションを実行する許可を付与します。
これを行うには、次を使用します。
- 詳細に設定されたアクセスコントロールのための IAM ポリシー条件を使用する
-
Amazon Keyspaces でアクセス許可を付与するときは、アクセス権限ポリシーを有効にする方法を決める条件を指定できます。最小特権の実装は、セキュリティリスクはもちろん、エラーや悪意ある行動によってもたらされる可能性のある影響を減らす上での鍵となります。
IAM ポリシーを使用して、アクセス許可を付与するときに条件を指定できます。例えば、次のオペレーションを実行できます。
-
特定のキースペースまたはテーブルに対する読み取り専用アクセスをユーザーに許可するために、アクセス許可を付与します。
-
ユーザーのアイデンティティに基づいて、特定のテーブルへのユーザー書き込みアクセスを許可するために、アクセス許可を付与します。
詳細については、「Identity-Based Policy Examples (アイデンティティベースのポリシーの例)」を参照してください。
-
- クライアント側の暗号化を考慮する
-
機密データや機密データを Amazon Keyspaces に保存する場合は、データを可能な限りオリジンの近くで暗号化して、ライフサイクル全体にわたってデータを保護することを検討してください。伝送中および保管時の機密データを暗号化することで、サードパーティーがお客様のプレーンテキストデータを使用することはできません。