View a markdown version of this page

セキュリティの柱 - AWS 規範ガイダンス
データセキュリティの実装ネットワークを保護する認証と認可を実装する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティの柱

セキュリティの柱は、Timestream for InfluxDB を使用する際に責任共有モデルを適用する方法を理解するのに役立ちます。

セキュリティの柱には、以下の主要な重点分野が含まれています。

  • データセキュリティ

  • ネットワークセキュリティ

  • 認証と認可

以下のセクションでは、セキュリティおよびコンプライアンスの目的を達成するように Timestream for InfluxDB を設定する方法を示します。また、Timestream for InfluxDB リソースのモニタリングと保護 AWS のサービス に役立つ他の の使用方法についても説明します。

データセキュリティの実装

データ漏洩やデータ侵害は顧客を危険にさらし、会社に大きな悪影響を与える可能性があります。責任 AWS 共有モデルは、Timestream for InfluxDB でのデータ保護に適用されます。以下のプラクティスは、不注意や悪意のある漏洩から顧客データを保護するのに役立ちます。

  • インスタンス名、タグ、パラメータグループ、 AWS Identity and Access Management (IAM) ロール、およびその他のメタデータに機密情報を含めないでください。そのデータは、請求ログまたは診断ログに表示される場合があります。

  • 暗号化を使用して、クラウドにデプロイされているアプリケーションのデータ保護を強化します。暗号化されたインスタンスは、基盤となるストレージへの不正アクセスからデータを保護するのに役立つため、データ保護の追加レイヤーを提供します。InfluxDB 暗号化の Timestream はデフォルトで有効になっています。

  • 可能な限り APIs のパラメータ化を使用します。

データ保護と暗号化の詳細については、Timestream for InfluxDB ドキュメントを参照してください。

ネットワークを保護する

InfluxDB インスタンスの Timestream は、 の仮想プライベートクラウド (VPC) でのみ作成できます AWS。インスタンスをさらに保護するには、以下を実行します。

  • 次のいずれかを実行して、インスタンスのエンドポイント へのパブリックアクセスを制限します。

    • InfluxDB データベースの作成ページでパブリックにアクセスできない (デフォルトで選択) を選択します。

    • PubliclyAccessible プロパティを ()false で AWS CloudFormation に設定しますAWS::Timestream::InfluxDBInstance

    パブリックにアクセスできないまたは PubliclyAccessibleに設定するとfalse、インスタンスのエンドポイントは VPC 内でのみアクセスできます。エンドポイントは通常、Timestream for InfluxDB インスタンスと同じ VPC で実行されている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスからアクセスされます。 InfluxDB

  • セキュリティグループを使用して、VPC 内の Timestream for InfluxDB へのネットワークアクセスをさらに保護します。

  • SSL/TLS を使用して AWS リソースと通信します。InfluxDB の Timestream には TLS 1.2 が必要です。TLS 1.3 をお勧めします。

  • InfluxDB インスタンスの Timestream を作成して接続する」の手順に従って、インスタンスに安全に接続します。

  • インターフェイス VPC エンドポイントを作成して、VPC と Amazon Timestream for InfluxDB コントロールプレーン API エンドポイント間のプライベート接続を確立します。

セキュリティの詳細については、「Timestream for InfluxDB ドキュメント」を参照してください。

認証と認可を実装する

IAM 認証情報を使用して、Timestream for InfluxDB インスタンスの管理 アクションを制御します。IAM 認証情報を使用して Timestream for InfluxDB に接続する場合、IAM ロールには、Timestream for InfluxDB 管理オペレーションの実行に必要なアクセス許可を付与する IAM ポリシーが必要です。最小特権の原則に従い、タスクを完了するために必要なアクセス許可のみを付与してください。詳細については、「Identity and Access Management for Amazon Timestream for InfluxDB」を参照してください。

IAM ポリシーで Amazon Timestream for InfluxDB アクションを使用して、Timestream for InfluxDB インスタンスを管理できるユーザーを制御できます。

Amazon Timestream for InfluxDB インスタンスに保存されているデータのきめ細かなアクセスコントロールを提供するには、ユーザーに InfluxDB API トークンを付与します

他の とやり取りするために AWS のサービス、Amazon Timestream for InfluxDB は IAM サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Timestream for InfluxDB に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、InfluxDB の Timestream によって事前定義されており、サービスが AWS のサービス ユーザーに代わって他の を呼び出すために必要なすべてのアクセス許可が含まれています。詳細については、「Using Service-Linked Roles for Amazon Timestream for InfluxDB」を参照してください。