Amazon MWAA での暗号化 - Amazon Managed Workflows for Apache Airflow
保管中の暗号化転送中の暗号化

Amazon MWAA での暗号化

以下のトピックでは、Amazon MWAA が保管中および転送中のデータを保護する方法について説明します。この情報を使用して、Amazon MWAA が AWS KMS と統合して保管中のデータを暗号化する方法、および転送中に Transport Layer Security (TLS) プロトコルを使用してデータを暗号化する方法を学んでください。

保管中の暗号化

Amazon MWAA では、保管中の データとは、サービスが永続メディアに保存するデータです。

保管中のデータの暗号化には AWS 所有キー を使用することも、環境の作成時にオプションで カスタマーマネージドキー を提供して追加の暗号化を行うこともできます。カスタマーマネージド KMS キーを使用する場合は、そのキーは環境で使用している他の AWS リソースやサービスと同じアカウントにある必要があります。

カスタマーマネージド KMS キーを使用するには、CloudWatch アクセスに必要なポリシーステートメントをキーポリシーに添付する必要があります。お客様の環境でカスタマーマネージド KMS キーを使用する場合、Amazon MWAA はお客様に代わって 4 つの 許可 をアタッチします。Amazon MWAA がカスタマーマネージド KMS キーに付与する許可の詳細については、データ暗号化用のカスタマーマネージドキー を参照してください。

カスタマーマネージド KMS キーを指定しない場合、Amazon MWAA はデフォルトで AWS 所有の KMS キーを使用してデータを暗号化および復号化します。Amazon MWAA のデータ暗号化を管理するには、AWS 所有の KMS キーを使用することをお勧めします。

注記

Amazon MWAA での AWS 所有、またはカスタマーマネージド KMS キーの保管および使用には料金がかかります。詳細は、AWS KMS 料金表 を参照してください。

暗号化アーティファクト

Amazon MWAA 環境を作成するときに、AWS 所有キー または カスタマーマネージドキー を指定して、保管時の暗号化に使用する暗号化アーティファクトを指定します。Amazon MWAA は、指定されたキーに必要な 許可 を追加します。

[Amazon S3] — Amazon S3 データは、サーバー側の暗号化 (SSE) を使用してオブジェクトレベルで暗号化されます。Amazon S3 の暗号化と復号化は、DAG コードとサポートファイルが保存される Amazon S3 バケットで行われます。オブジェクトは Amazon S3 にアップロードされるときに暗号化され、Amazon MWAA 環境にダウンロードされるときに復号化されます。デフォルトでは、カスタマー管理の KMS キーを使用している場合、Amazon MWAA はそのキーを使用して Amazon S3 バケットのデータを読み取り、復号化します。

CloudWatch Logs — AWS 所有の KMS キーを使用している場合、CloudWatch Logs に送信される Apache Airflow ログは、CloudWatch Logs の AWS 所有の KMS キーによる SSE を使用して暗号化されます。カスタマー管理の KMS キーを使用している場合は、CloudWatch Logs がキーを使用できるように、キーポリシー を KMS キーに追加する必要があります。

Amazon SQS — Amazon MWAA は、お使いの環境用に 1 つの Amazon SQS キューを作成します。Amazon MWAA は、AWS 所有の KMS キーまたはお客様が指定する KMS キーのいずれかを使用して、SSE を用いてキューとの間で送受信されるデータの暗号化を処理します。AWS 所有の KMS キーとカスタマーマネージド KMS キーのどちらを使用しているかにかかわらず、実行ロールに Amazon SQS アクセス許可を追加する必要があります。

Aurora PostgreSQL — Amazon MWAA は、お使いの環境に合わせて 1 つの PostgreSQL クラスターを作成します。Aurora PostgreSQL は、SSE を使用して、AWS 所有またはカスタマーマネージド KMS キーでコンテンツを暗号化します。カスタマーマネージドの KMS キーを使用している場合、Amazon RDS はキーに少なくとも 2 つの権限を追加します。1 つはクラスター用、もう 1 つはデータベースインスタンス用です。カスタマーマネージド KMS キーを複数の環境で使用することを選択した場合、Amazon RDS は追加の権限を作成することがあります。詳細については、Amazon RDS におけるデータ保護 を参照してください。

転送中の暗号化

転送中のデータとは、ネットワークを移動する際に傍受される可能性があるデータと呼ばれます。

Transport Layer Security (TLS) は、環境の Apache Airflow コンポーネントと Amazon MWAA と統合された他の AWS サービス (Amazon S3 など) の間で転送される Amazon MWAA オブジェクトを暗号化します。Amazon S3 暗号化の使用の詳細については、暗号化でデータを保護する を参照してください。