翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# データ暗号化
<a name="security-data-encryption"></a>

次の情報は、ユーザーのデータを保護するために、 Amazon Rekognition がデータ暗号化を使用する場所について説明しています。

## 保管中の暗号化
<a name="security-data-encryption-at-rest"></a>

### Amazon Rekognition イメージ
<a name="security-ear-rekognition-image"></a>

#### イメージ
<a name="security-image-ear-images"></a>

Amazon Rekognition API オペレーションに渡されたイメージは、[AI サービスオプトアウトに関するポリシーのページ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)を訪問し、そこで説明されたプロセスに従ってオプトアウトしない限り、サービスの改善のために保存されたり使用されたりすることがあります。保存されたイメージは、AWS Key Management Service (SSE-KMS) を使用して保管時 (Amazon S3) に暗号化されます。

#### コレクション
<a name="security-ear-face-comparison-collections"></a>

コレクションに情報を保存する顔比較オペレーションの場合、基になる検出アルゴリズムで、最初に入力イメージ内の顔を検出して、顔ごとのベクトルを抽出し、次にその顔ベクトルをコレクションに保存します。Amazon Rekognition は、顔の比較を実行するときに、これらの顔ベクトルを使用します。顔ベクトルは浮動小数点数の配列として保存され、保管中は暗号化されます。

### Amazon Rekognition Video
<a name="security-ear-rekognition-video"></a>

#### 動画
<a name="security-video-ear-videos"></a>

 動画を分析するために、Amazon Rekognition は動画を処理用のサービスにコピーします。動画は、[AI サービスオプトアウトに関するポリシーのページ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) を訪問し、そこで説明されたプロセスに従ってオプトアウトしない限り、サービスの改善のために保存されたり使用されたりすることがあります。動画は、AWS Key Management Service (SSE-KMS) を使用して保管時 (Amazon S3) に暗号化されます。

### Amazon Rekognition Custom Labels
<a name="security-ear-custom-labels"></a>

Amazon Rekognition カスタムラベルでは、保管中のデータが暗号化されます。

#### イメージ
<a name="security-ear-cl-images"></a>

 モデルをトレーニングするために、Amazon Rekognition Custom Labels は出典トレーニング画像とテストイメージのコピーを作成します。コピーされたイメージは、 AWS KMS key 指定した または AWS 所有の KMS キーによるサーバー側の暗号化を使用して、Amazon Simple Storage Service (S3) で保管時に暗号化されます。Amazon Rekognition カスタムラベルでは、対称 KMS キーのみがサポートされます。出典のイメージには影響がありません。詳細については、「[Amazon Rekognition カスタムラベルモデルのトレーニング](https://docs.aws.amazon.com/rekognition/latest/customlabels-dg/tm-train-model.html)」を参照してください。

#### モデル
<a name="security-ear-cl-models"></a>

デフォルトでは、Amazon Rekognition カスタムラベルは、 AWS 所有のキーでサーバー側の暗号化を使用し、Amazon S3 バケットに保存されているトレーニング済みのモデルおよびマニフェストファイルを暗号化します。詳細については、「[サーバー側暗号化を使用するデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)」を参照してください。トレーニング結果は [CreateProjectVersion](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateProjectVersion.html) への `OutputConfig` 入力パラメータで指定されたバケットに書き込まれます。トレーニング結果は、バケット (`OutputConfig`) に対して構成された暗号化設定を使用して暗号化されます。

#### コンソールのバケット
<a name="security-ear-cl-console"></a>

Amazon Rekognition カスタムラベルのコンソールは、プロジェクトを管理するために使用できる Amazon S3 バケット (コンソールのバケット) を作成します。コンソールのバケットは、デフォルトの Amazon S3 暗号化を使用して暗号化されます。詳細については、「[S3 バケット用 Amazon Simple Storage Service デフォルト暗号化](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html)」を参照してください。独自の KMS キーを使用している場合は、作成後にコンソールバケットを設定します。詳細については、「[サーバー側暗号化を使用するデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)」を参照してください。Amazon Rekognition のカスタムラベルは、コンソールのバケットへのパブリックアクセスをブロックします。

### Rekognition Face Liveness
<a name="security-ear-rekognition-liveness"></a>

Rekognition Face Liveness サービスのアカウントに保存されているすべてのセッション関連データは、保管時に完全に暗号化されます。デフォルトでは、参照イメージと監査イメージは、サービスアカウントの AWS 所有キーを使用して暗号化されます。ただし、これらのイメージを暗号化するために独自の AWS KMS キーを指定することもできます。

## 転送中の暗号化
<a name="security-data-encryption-in-transit"></a>

Amazon Rekognition API エンドポイントでは、HTTPS 経由の安全な接続のみがサポートされます。すべての通信は、Transport Layer Security (TLS) で暗号化されます。

## キー管理
<a name="security-data-encryption-key-management"></a>

AWS Key Management Service (KMS) を使用して、Amazon S3 バケットに保存する入力イメージおよび動画のキーを管理できます。詳細については、「[AWS Key Management Service の概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)」を参照してください。

### Face Liveness のカスタマーマネージドキーによる暗号化
<a name="security-data-encryption-key-management-liveness"></a>

[CreateFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateFaceLivenessSession.html) API は、オプションの `KmsKeyId` パラメータを受け入れます。ユーザーは、自分のアカウントで作成した KMS キーの `id` を指定できます。このキーは [StartFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_StartFaceLivenessSession.html) API の実行中に取得した参照イメージと監査イメージを暗号化するために使用され、イメージは [GetFaceLivenessSessionResults](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_GetFaceLivenessSessionResults.html) API の実行中にこのキーを使用して復号され、その後、結果が返されます。CreateFaceLivenessSession リクエストに OutputConfig が含まれている場合、参照イメージと監査イメージは指定された Amazon S3 パスにアップロードされます。Amazon S3 バケットでサーバー側の暗号化 ([SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)) を有効にし、データを保管時も暗号化された状態にすることが推奨されます。

独自の AWS KMS キー ID を指定すると、Rekognition Face Liveness サービスは APIs を呼び出すプリンシパルに代わってカスタマーマネージドキーを使用するアクセス許可を取得します。顧客のバックエンド (API `CreateFaceLivenessSession` と `GetFaceLivenessSessionResults`) から API を呼び出すために使用されるプリンシパル (ユーザーまたはロール) には、以下を実行するためのアクセス権が必要です。
+ kms:DescribeKey
+ kms:GenerateDataKey
+ kms:Decrypt