翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# でのデータ保護 AWS Secrets Manager
責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、 でのデータ保護に適用されます AWS Secrets Manager。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。このコンテンツには、使用される AWS のサービス のセキュリティ設定と管理タスクが含まれます。データプライバシーの詳細については、「[データプライバシーのよくある質問](https://aws.amazon.com/compliance/data-privacy-faq)」を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、 ( AWS Identity and Access Management IAM) を使用して AWS アカウント 認証情報を保護し、個々のユーザーアカウントを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要なアクセス許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。
+ 各アカウントで[多要素認証 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。Secrets Manager は、すべてのリージョンで TLS 1.2 および 1.3 をサポートしています。また、Secrets Manager は [TLS (PQTLS) ネットワーク暗号化プロトコル用のハイブリッドポスト量子キー交換オプション](pqtls.md)もサポートしています。
+ IAM プリンシパルに関連付けられているアクセスキー ID とシークレットアクセスキーを使用して、Secrets Manager へのプログラムリクエストに署名します。または、[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。「[で AWS Secrets Manager イベントをログに記録する AWS CloudTrail](monitoring-cloudtrail.md)」を参照してください。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-2 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。「[AWS Secrets Manager エンドポイント](asm_access.md#endpoints)」を参照してください。
+ を使用して Secrets Manager AWS CLI にアクセスする場合は、[を使用して AWS Secrets Manager シークレット AWS CLI を保存するリスクを軽減する](security_cli-exposure-risks.md)。
## 保管中の暗号化
Secrets Manager は AWS Key Management Service 、 (AWS KMS) による暗号化を使用して、保管中のデータの機密性を保護します。 は、多くのサービスで使用されるキーストレージと暗号化 AWS サービス AWS KMS を提供します。Secrets Manager のシークレットはすべて、一意のデータキーで暗号化されます。各データキーは、KMS キーで保護されます。Secrets Manager AWS マネージドキー でアカウントにデフォルトの暗号化を使用することも、 AWS KMSで独自のカスタマー管理キーを作成することもできます。カスタマー管理キーを使用すると、KMS キーアクティビティの認可をきめ細かく制御できます。詳細については、「[でのシークレットの暗号化と復号 AWS Secrets Manager](security-encryption.md)」を参照してください。
## 転送中の暗号化
Secrets Manager は、転送中のデータを暗号化するための安全なプライベートエンドポイントを提供します。セキュアエンドポイントとプライベートエンドポイントにより AWS 、 は Secrets Manager への API リクエストの整合性を保護できます。 AWS では、X.509 証明書または Secrets Manager シークレットアクセスキーを使用して、呼び出し元が API コールに署名する必要があります。この要件は、[署名バージョン 4 署名プロセス](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) (Sigv4) に記載されています。
AWS Command Line Interface (AWS CLI) またはいずれかの AWS SDKs を使用して を呼び出す場合は AWS、使用するアクセスキーを設定します。その後、これらのツールは自動的にアクセスキーを使用してリクエストに署名します。「[を使用して AWS Secrets Manager シークレット AWS CLI を保存するリスクを軽減する](security_cli-exposure-risks.md)」を参照してください。
## ネットワーク間トラフィックのプライバシー
AWS には、既知のネットワークルートとプライベートネットワークルートを介してトラフィックをルーティングするときにプライバシーを維持するためのオプションが用意されています。
**サービスとオンプレミスのクライアントおよびアプリケーションとの間のトラフィック**
プライベートネットワークと の間には 2 つの接続オプションがあります AWS Secrets Manager。
+ An AWS Site-to-Site VPN 接続。詳細については、[AWS Site-to-Site VPN とは」を参照してください。](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ AWS Direct Connect 接続。詳細については、「[AWS Direct Connect とは](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)」を参照してください。
**同じリージョン内の AWS リソース間のトラフィック**
で Secrets Manager と API クライアント間のトラフィックを保護する場合は AWS、Secrets Manager API エンドポイントにプライベートにアクセスするように [AWS PrivateLink](https://aws.amazon.com/privatelink/) を設定します。
## 暗号化キーの管理
Secrets Manager が保護されたシークレットデータの新しいバージョンを暗号化する必要がある場合、Secrets Manager は にリクエストを送信 AWS KMS して KMS キーから新しいデータキーを生成します。Secrets Manager は、このデータキーを[エンベロープ暗号化](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)に使用します。Secrets Manager は、暗号化されたシークレットを使用して、暗号化されたデータキーを保存します。シークレットを復号化する必要がある場合、Secrets Manager はデータキーを復号 AWS KMS するよう に求めます。Secrets Manager は、復号されたデータキーを使用して、暗号化されたシークレットを復号します。Secrets Manager では、データキーは暗号化されていない形式で保存されることはなく、キーはメモリから速やかに削除されます。詳細については、「[でのシークレットの暗号化と復号 AWS Secrets Manager](security-encryption.md)」を参照してください。