Amazon QuickSight でのインフラストラクチャセキュリティ
| 対象者: Amazon QuickSight 管理者 |
Amazon QuickSight は、AWS Virtual Private Cloud (VPC) とは別に、専用の Amazon EC2 ホストでホストされるウェブアプリケーションとして提供されます。QuickSight を独自のホストにデプロイするのではなく、リージョンレベルのパブリックエンドポイントを介して QuickSight サービスにアクセスします。QuickSight は、リージョンレベルのエンドポイントから、保護されたインターネット接続を介してデータソースにアクセスします。企業ネットワーク内のデータソースにアクセスするには、QuickSight のパブリック IP アドレスブロックの 1 つからのアクセスを許可するようにネットワークを設定します。VPC (AWS アカウント専用の仮想ネットワーク) の使用を検討することが推奨されます。
詳細については次を参照してください:
マネージドサービスである Amazon QuickSight は、Amazon Web Services: セキュリティプロセスの概要
AWS が公開した API コールを使用して、ネットワーク経由で QuickSight にアクセスする場合は、Transport Layer Security (TLS) 1.0 以降がクライアントでサポートされている必要があります。TLS 1.2 以降が推奨されています。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。
また、リクエストは、アクセスキー ID と、AWS Identity and Access Management (IAM) プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。またはAWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
これらの API オペレーションは任意のネットワークの場所から呼び出すことができますが、QuickSight ではリソースベースのアクセスポリシーがサポートされているため、ソース IP アドレスに基づく制限を含めることができます。また、QuickSight ポリシーを使用して、特定の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントあるいは特定の VPC からのアクセスを制御することもできます。これにより、実質的に AWS ネットワーク内の特定の VPC からのみ特定の QuickSight リソースへのネットワークアクセスが分離されます。QuickSight を VPC で使用する方法については、Amazon QuickSight を使用した VPC への接続 を参照してください。
