翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon MWAA での暗号化
以下のトピックでは、Amazon MWAA が保管中および転送中のデータを保護する方法について説明します。この情報を使用して、Amazon MWAA が と統合 AWS KMS して保管中のデータを暗号化する方法と、転送中の Transport Layer Security (TLS) プロトコルを使用してデータを暗号化する方法について説明します。
保管中の暗号化
Amazon MWAA では、保管中のデータとは、サービスが永続メディアに保存するデータです。
保管時のデータの暗号化には AWS所有キーを使用するか、環境の作成時に追加の暗号化にはオプションでカスタマーマネージドキーを指定できます。カスタマーマネージド KMS キーを使用する場合は、環境で使用している他の AWS リソースやサービスと同じアカウントに存在する必要があります。
カスタマーマネージド KMS キーを使用するには、CloudWatch アクセスに必要なポリシーステートメントをキーポリシーにアタッチする必要があります。環境でカスタマーマネージド KMS キーを使用すると、Amazon MWAA はユーザーに代わって 4 つの許可をアタッチします。Amazon MWAA がカスタマーマネージド KMS キーにアタッチする権限の詳細については、「データ暗号化用のカスタマーマネージドキー」を参照してください。
カスタマー管理の KMS キーを指定しない場合、Amazon MWAA はデフォルトで の AWS 所有の KMS キーを使用してデータを暗号化および復号します。Amazon MWAA でデータ暗号化を管理するには、 AWS 所有の KMS キーを使用することをお勧めします。
注記
Amazon MWAA で AWS 所有またはカスタマー管理の KMS キーのストレージと使用に対して料金が発生します。詳細については、AWS KMS 「 料金
暗号化アーティファクト
保管時の暗号化に使用される暗号化アーティファクトを指定するには、Amazon MWAA 環境を作成するときに AWS所有キーまたはカスタマーマネージドキーを指定します。Amazon MWAA は、指定されたキーに必要な許可を追加します。
[Amazon S3] — Amazon S3 データは、サーバー側の暗号化 (SSE) を使用してオブジェクトレベルで暗号化されます。Amazon S3 の暗号化と復号化は、DAG コードとサポートファイルが保存される Amazon S3 バケットで行われます。オブジェクトは Amazon S3 にアップロードされるときに暗号化され、Amazon MWAA 環境にダウンロードされるときに復号化されます。デフォルトでは、カスタマー管理の KMS キーを使用している場合、Amazon MWAA はそれを使用して Amazon S3 バケット上のデータの読み取りと復号を行います。
CloudWatch Logs – AWS 所有の KMS キーを使用している場合、CloudWatch Logs に送信される Apache Airflow ログは、CloudWatch Logs AWS 所有の KMS キーで SSE を使用して暗号化されます。カスタマーマネージド KMS キーを使用している場合は、キーポリシーを KMS キーに追加して、CloudWatch Logs がキーを使用できるようにする必要があります。
[Amazon SQS] — Amazon MWAA は、お使いの環境用に 1 つの Amazon SQS キューを作成します。Amazon MWAA は、 AWS 所有の KMS キーまたは指定したカスタマー管理の KMS キーを使用して、SSE を使用してキューとの間で送受信されるデータの暗号化を処理します。 AWS 所有またはカスタマー管理の KMS キーを使用しているかどうかにかかわらず、Amazon SQS アクセス許可を実行ロールに追加する必要があります。
[Aurora PostgreSQL] — Amazon MWAA は、お使いの環境に合わせて 1 つの PostgreSQL クラスターを作成します。Aurora PostgreSQL は、SSE を使用して AWS 、所有またはカスタマー管理の KMS キーでコンテンツを暗号化します。カスタマーマネージド KMS キーを使用している場合、Amazon RDS はキーに少なくとも 2 つの許可を追加します。1 つはクラスター用、もう 1 つはデータベースインスタンス用です。複数の環境でカスタマーマネージド KMS キーを使用することを選択した場合、Amazon RDS は追加の許可を作成することがあります。詳細については、「Amazon RDS でのデータ保護」を参照してください。
転送中の暗号化
転送中のデータは、ネットワークを通過するときに傍受される可能性のあるデータと呼ばれます。
Transport Layer Security (TLS) は、環境の Apache Airflow コンポーネントと Amazon S3 などの Amazon MWAA と統合する他の AWS サービスの間で転送中の Amazon MWAA オブジェクトを暗号化します。Amazon S3 暗号化の詳細については、「暗号化を使用したデータの保護」を参照してください。