Amazon MWAA での暗号化 - Amazon Managed Workflows for Apache Airflow

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon MWAA での暗号化

以下のトピックでは、Amazon MWAA が保管中および転送中のデータを保護する方法について説明します。この情報を使用して、Amazon MWAA が と統合 AWS KMS して保管中のデータを暗号化する方法と、転送中の Transport Layer Security (TLS) プロトコルを使用してデータを暗号化する方法について説明します。

保管中の暗号化

Amazon MWAA では、保管中のデータとは、サービスが永続メディアに保存するデータです。

保管時のデータの暗号化には AWS所有キーを使用するか、環境の作成時に追加の暗号化にはオプションでカスタマーマネージドキーを指定できます。カスタマーマネージド KMS キーを使用する場合は、環境で使用している他の AWS リソースやサービスと同じアカウントに存在する必要があります。

カスタマーマネージド KMS キーを使用するには、CloudWatch アクセスに必要なポリシーステートメントをキーポリシーにアタッチする必要があります。環境でカスタマーマネージド KMS キーを使用すると、Amazon MWAA はユーザーに代わって 4 つの許可をアタッチします。Amazon MWAA がカスタマーマネージド KMS キーにアタッチする権限の詳細については、「データ暗号化用のカスタマーマネージドキー」を参照してください。

カスタマー管理の KMS キーを指定しない場合、Amazon MWAA はデフォルトで の AWS 所有の KMS キーを使用してデータを暗号化および復号します。Amazon MWAA でデータ暗号化を管理するには、 AWS 所有の KMS キーを使用することをお勧めします。

注記

Amazon MWAA で AWS 所有またはカスタマー管理の KMS キーのストレージと使用に対して料金が発生します。詳細については、AWS KMS 「 料金表」を参照してください。

暗号化アーティファクト

保管時の暗号化に使用される暗号化アーティファクトを指定するには、Amazon MWAA 環境を作成するときに AWS所有キーまたはカスタマーマネージドキーを指定します。Amazon MWAA は、指定されたキーに必要な許可を追加します。

[Amazon S3] — Amazon S3 データは、サーバー側の暗号化 (SSE) を使用してオブジェクトレベルで暗号化されます。Amazon S3 の暗号化と復号化は、DAG コードとサポートファイルが保存される Amazon S3 バケットで行われます。オブジェクトは Amazon S3 にアップロードされるときに暗号化され、Amazon MWAA 環境にダウンロードされるときに復号化されます。デフォルトでは、カスタマー管理の KMS キーを使用している場合、Amazon MWAA はそれを使用して Amazon S3 バケット上のデータの読み取りと復号を行います。

CloudWatch Logs – AWS 所有の KMS キーを使用している場合、CloudWatch Logs に送信される Apache Airflow ログは、CloudWatch Logs AWS 所有の KMS キーで SSE を使用して暗号化されます。カスタマーマネージド KMS キーを使用している場合は、キーポリシーを KMS キーに追加して、CloudWatch Logs がキーを使用できるようにする必要があります。

[Amazon SQS] — Amazon MWAA は、お使いの環境用に 1 つの Amazon SQS キューを作成します。Amazon MWAA は、 AWS 所有の KMS キーまたは指定したカスタマー管理の KMS キーを使用して、SSE を使用してキューとの間で送受信されるデータの暗号化を処理します。 AWS 所有またはカスタマー管理の KMS キーを使用しているかどうかにかかわらず、Amazon SQS アクセス許可を実行ロールに追加する必要があります。

[Aurora PostgreSQL] — Amazon MWAA は、お使いの環境に合わせて 1 つの PostgreSQL クラスターを作成します。Aurora PostgreSQL は、SSE を使用して AWS 、所有またはカスタマー管理の KMS キーでコンテンツを暗号化します。カスタマーマネージド KMS キーを使用している場合、Amazon RDS はキーに少なくとも 2 つの許可を追加します。1 つはクラスター用、もう 1 つはデータベースインスタンス用です。複数の環境でカスタマーマネージド KMS キーを使用することを選択した場合、Amazon RDS は追加の許可を作成することがあります。詳細については、「Amazon RDS でのデータ保護」を参照してください。

転送中の暗号化

転送中のデータは、ネットワークを通過するときに傍受される可能性のあるデータと呼ばれます。

Transport Layer Security (TLS) は、環境の Apache Airflow コンポーネントと Amazon S3 などの Amazon MWAA と統合する他の AWS サービスの間で転送中の Amazon MWAA オブジェクトを暗号化します。Amazon S3 暗号化の詳細については、「暗号化を使用したデータの保護」を参照してください。