保管中の暗号化転送中の暗号化ネットワーク間トラフィックのプライバシー暗号化キーの管理

でのデータ保護 AWS Secrets Manager

責任 AWS 共有モデル、でのデータ保護に適用されます AWS Secrets Manager。このモデルで説明されているように、 AWS はすべてのを実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。このコンテンツには、使用される AWS のサービスのセキュリティ設定と管理タスクが含まれます。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された「AWS 責任共有モデルおよび GDPR」のブログ記事を参照してください。

データ保護の目的で、 ( AWS Identity and Access Management IAM) を使用して AWS アカウント認証情報を保護し、個々のユーザーアカウントを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要なアクセス許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。

各アカウントで多要素認証 (MFA) を使用します。
SSL/TLS を使用して AWS リソースと通信します。Secrets Manager は、すべてのリージョンで TLS 1.2 および 1.3 をサポートしています。また、Secrets Manager は TLS (PQTLS) ネットワーク暗号化プロトコル用のハイブリッドポスト量子キー交換オプションもサポートしています。
IAM プリンシパルに関連付けられているアクセスキー ID とシークレットアクセスキーを使用して、Secrets Manager へのプログラムリクエストに署名します。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。「で AWS Secrets Manager イベントをログに記録する AWS CloudTrail」を参照してください。
コマンドラインインターフェイスまたは API AWS を介してにアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。「AWS Secrets Manager エンドポイント」を参照してください。
を使用して Secrets Manager AWS CLI にアクセスする場合は、を使用して AWS CLIAWS Secrets Manager シークレットを保存するリスクを軽減する。

保管中の暗号化

Secrets Manager は AWS Key Management Service 、 (AWS KMS) による暗号化を使用して、保管中のデータの機密性を保護します。は、多くのサービスで使用されるキーストレージと暗号化 AWS サービス AWS KMS を提供します。Secrets Manager のシークレットはすべて、一意のデータキーで暗号化されます。各データキーは、KMS キーで保護されます。Secrets Manager AWS マネージドキーでアカウントにデフォルトの暗号化を使用することも、 AWS KMSで独自のカスタマー管理キーを作成することもできます。カスタマー管理キーを使用すると、KMS キーアクティビティの認可をきめ細かく制御できます。詳細については、「でのシークレットの暗号化と復号 AWS Secrets Manager」を参照してください。

転送中の暗号化

Secrets Manager は、転送中のデータを暗号化するための安全なプライベートエンドポイントを提供します。セキュアエンドポイントとプライベートエンドポイントにより AWS 、は Secrets Manager への API リクエストの整合性を保護できます。 AWS では、X.509 証明書または Secrets Manager シークレットアクセスキーを使用して、呼び出し元が API コールに署名する必要があります。この要件は、署名バージョン 4 署名プロセス (Sigv4) に記載されています。

AWS Command Line Interface (AWS CLI) またはいずれかの AWS SDKs を使用してを呼び出す場合は AWS、使用するアクセスキーを設定します。その後、これらのツールは自動的にアクセスキーを使用してリクエストに署名します。「を使用して AWS CLIAWS Secrets Manager シークレットを保存するリスクを軽減する」を参照してください。

ネットワーク間トラフィックのプライバシー

AWS には、既知のネットワークルートとプライベートネットワークルートを介してトラフィックをルーティングするときにプライバシーを維持するためのオプションが用意されています。

サービスとオンプレミスのクライアントおよびアプリケーションとの間のトラフィック

プライベートネットワークとの間には 2 つの接続オプションがあります AWS Secrets Manager。

An AWS Site-to-Site VPN 接続。詳細については、AWS Site-to-Site VPN とは」を参照してください。
AWS Direct Connect 接続。詳細については、「AWS Direct Connect とは」を参照してください。

同じリージョン内の AWS リソース間のトラフィック

で Secrets Manager と API クライアント間のトラフィックを保護する場合は AWS、Secrets Manager API エンドポイントにプライベートにアクセスするように AWS PrivateLink を設定します。

暗号化キーの管理

Secrets Manager が保護されたシークレットデータの新しいバージョンを暗号化する必要がある場合、Secrets Manager は AWS KMS KMS キーから新しいデータキーを生成するリクエストをに送信します。Secrets Manager は、このデータキーをエンベロープ暗号化に使用します。Secrets Manager は、暗号化されたシークレットを使用して、暗号化されたデータキーを保存します。シークレットを復号化する必要がある場合、Secrets Manager はデータキーを復号 AWS KMS するように求めます。Secrets Manager は、復号されたデータキーを使用して、暗号化されたシークレットを復号します。Secrets Manager では、データキーは暗号化されていない形式で保存されることはなく、キーはメモリから速やかに削除されます。詳細については、「でのシークレットの暗号化と復号 AWS Secrets Manager」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

オンプレミスアクセス

シークレット暗号化と復号