Managed Service for Apache Flink のセキュリティのベストプラクティス - Managed Service for Apache Flink
最小特権アクセスの実装IAM ロールを使用して他の Amazon のサービスにアクセスする依存リソースでのサーバー側の暗号化の実装CloudTrail を使用した API コールのモニタリング

Amazon Managed Service for Apache Flink (Amazon MSF) は、以前は Amazon Kinesis Data Analytics for Apache Flink と呼ばれていました。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Managed Service for Apache Flink のセキュリティのベストプラクティス

Amazon Managed Service for Apache Flink には、独自のセキュリティポリシーを策定および実装する際に考慮すべき、さまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。

最小特権アクセスの実装

アクセス許可を付与する場合、どのユーザーにどの Managed Service for Apache Flink リソースに対するアクセス許可を付与するかは、お客様が決定します。これらのリソースで許可したい特定のアクションを有効にするのも、お客様になります。このため、タスクの実行に必要なアクセス許可のみを付与する必要があります。最小特権アクセスの実装は、セキュリティリスクと、エラーや悪意によってもたらされる可能性のある影響の低減における基本になります。

IAM ロールを使用して他の Amazon のサービスにアクセスする

他のサービスのリソース (Kinesis データストリーム、Firehose ストリーム、Amazon S3 バケットなど) にアクセスするには、Managed Service for Apache Flink アプリケーションに有効な認証情報が必要です。AWS認証情報をアプリケーションまたは Amazon S3 バケットに直接保存しないでください。これらは自動的にローテーションされない長期的な認証情報であり、漏洩するとビジネスに大きな影響が及ぶ場合があります。

CloudWatch Logs ロググループの作成代わりに、 IAM ロールを使用して、他のリソースにアクセスするためのアプリケーションの一時的な認証情報を管理してください。ロールを使用する場合、長期的な認証情報 (ユーザー名やパスワード、アクセスキーなど) を使用して他のリソースにアクセスする必要はありません。

詳細については、IAM ユーザーガイド にある下記のトピックを参照してください。

依存リソースでのサーバー側の暗号化の実装

保管中のデータと転送中のデータは Managed Service for Apache Flink で暗号化されます。この暗号化を無効にすることはできません。Kinesis データストリーム、Firehose ストリーム、Amazon S3 バケットなどの依存リソースには、サーバー側の暗号化を実装する必要があります。依存リソースでのサーバー側の暗号化の実装の詳細については、「データ保護 」を参照してください。

CloudTrail を使用した API コールのモニタリング

Managed Service for Apache Flink はAWS CloudTrail、Managed Service for Apache Flink のユーザー、ロール、または Amazon サービスによって実行されたアクションを記録するサービスである と統合されています。

CloudTrail によって収集された情報を使用して、Managed Service for Apache Flink に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエストが行われた日時、および追加の詳細を確認することができます。

詳細については、「AWS CloudTrail を使用した Managed Service for Apache Flink API コールのログ記録」を参照してください。