翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS エンドユーザーメッセージング SMS でのデータ保護

責任 AWS 共有モデル、 AWS エンドユーザーメッセージング SMS でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーに関するよくある質問を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された「AWS 責任共有モデルおよび GDPR」のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して AWS エンドユーザーメッセージング SMS AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

データ暗号化

AWS エンドユーザーメッセージング SMS データは、転送中および AWS 境界内で保管中に暗号化されます。End AWS User Messaging SMS にデータを送信すると、受信時にデータが暗号化され、保存されます。 AWS エンドユーザーメッセージング SMS からデータを取得すると、現在のセキュリティプロトコルを使用してデータが送信されます。 AWS エンドユーザーメッセージング SMS を使用して外部モバイルデバイスに SMS メッセージを送信する場合、データは SMS プロトコルを介して AWS 境界外に転送され、SMS の技術的な制限が適用されます。

保管中の暗号化

AWS エンドユーザーメッセージング SMS は、 AWS 境界内に保存するすべてのデータを暗号化します。これには、設定データ、登録データ、および AWS エンドユーザーメッセージング SMS に追加するデータが含まれます。データを暗号化するために、 AWS End User Messaging SMS は、サービスがユーザーに代わって所有および維持する internal AWS Key Management Service (AWS KMS) キーを使用します。これらのキーは定期的に更新されます。 AWS KMSの詳細については、『AWS Key Management Service デベロッパーガイド』を参照してください。

転送中の暗号化

AWS エンドユーザーメッセージング SMS は、HTTPS と Transport Layer Security (TLS) 1.2 を使用してクライアントやアプリケーションと通信します。他の AWS サービスと通信するために、 AWS End User Messaging SMS は HTTPS および TLS 1.2 を使用します。さらに、コンソール、 AWS SDK、または を使用して AWS エンドユーザーメッセージング SMS リソースを作成および管理する場合 AWS Command Line Interface、すべての通信は HTTPS および TLS 1.2 を使用して保護されます。

AWS End User Messaging SMS を使用して SMS メッセージを外部モバイルデバイスに送信すると、データは SMS プロトコルを介して AWS 境界外に転送されます。SMS プロトコルには、エンドツーエンド暗号化の欠如など、一部の固有の制限があり、これらはお客様のユースケースに関連している可能性があります。SMS の制限とセキュリティのベストプラクティスの詳細については、「SMS プロトコルのセキュリティに関する考慮事項」および「SMS プロトコルセキュリティのベストプラクティス」を参照してください。

エンドユーザーメッセージングの SMS メッセージ処理

AWS エンドユーザーメッセージング SMS は、顧客が選択した AWS リージョン内で SMS メッセージを処理して保存します。ただし、SMS メッセージ配信の最終段階は、 AWS 制御の及ばない国際モバイルネットワークで動作します。SMS メッセージ配信で一般的なように、 AWS が使用する SMS サービスプロバイダーは、ダウンストリームサービスプロバイダーを利用して SMS メッセージをグローバルにルーティングする場合があります。これらのダウンストリームサービスプロバイダーは、SMS メッセージのエンドユーザー受信者が同じリージョンにある場合でも、顧客が選択した AWS リージョンとは異なるリージョンのエンドポイントまたはネットワークを介して SMS メッセージをルーティングすることがあります。

キー管理

AWS エンドユーザーメッセージング SMS データを暗号化するために、 AWS エンドユーザーメッセージング SMS は、サービスがユーザーに代わって所有および維持する内部 AWS KMS キーを使用します。これらのキーは定期的に更新されます。独自のキー AWS KMS や他のキーをプロビジョニングして使用して、 AWS エンドユーザーメッセージング SMS に保存するデータを暗号化することはできません。

ネットワーク間トラフィックのプライバシー

インターネットワークトラフィックのプライバシーとは、 AWS エンドユーザーメッセージング SMS とオンプレミスのクライアントとアプリケーション間、および AWS エンドユーザーメッセージング SMS と同じ 内の他の AWS リソース間の接続とトラフィックを保護することです AWS リージョン 。以下の機能とプラクティスは、 AWS エンドユーザーメッセージング SMS のインターネットネットワークトラフィックのプライバシーを保護するのに役立ちます。

AWS エンドユーザーメッセージング SMS とオンプレミスクライアントおよびアプリケーション間のトラフィック

AWS エンドユーザーメッセージング SMS とオンプレミスネットワーク上のクライアントおよびアプリケーションとの間にプライベート接続を確立するには、 を使用できます Direct Connect。これにより、標準の光ファイバーイーサネットケーブルを使用して、ネットワークを AWS Direct Connect ロケーションにリンクできます。ケーブルの一端はユーザーのルーターに接続します。もう 1 つのエンドは Direct Connect ルーターに接続されています。詳細については、「 Direct Connectユーザーガイド」の「What is Direct Connect ?」( とは？) を参照してください。

公開された APIs を介して AWS エンドユーザーメッセージング SMS へのアクセスを保護するために、API コールの AWS エンドユーザーメッセージング SMS 要件に準拠することをお勧めします。 AWS エンドユーザーメッセージング SMS では、クライアントが Transport Layer Security (TLS) 1.2 以降を使用する必要があります。また、クライアントは、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもサポートしている必要があります。モードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

さらに、リクエストは、 AWS アカウントの AWS Identity and Access Management (IAM) プリンシパルに関連付けられているアクセスキー ID とシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

AWS エンドユーザーメッセージング SMS と他の AWS リソース間のトラフィック

AWS エンドユーザーメッセージング SMS と同じ AWS リージョン内の他の AWS リソース間の通信を保護するために、 AWS エンドユーザーメッセージング SMS はデフォルトで HTTPS と TLS 1.2 を使用します。

AWS 境界外の SMS トラフィックについて

では AWS、データ保護を真剣に受け止めています。当社では、クラウド環境内に保存および処理するデータを保護するため、さまざまなセキュリティ対策を実施しています。ただし、データが AWS の境界を離れて外部の関係者によって処理や送信が行われると、保護レベルが変わってくる場合があることを理解することが重要です。

SMS プロトコルは暗号化をサポートしていません。SMS メッセージを送信するには AWS 、SMS メッセージを AWS 境界外に送信する必要があり、SMS メッセージがend-to-endで暗号化されることはありません。

AWS エンドユーザーメッセージング SMS 用のインターフェイス VPC エンドポイントの作成

インターフェイス VPC エンドポイントを作成することで、 AWS エンドユーザーメッセージング SMS で仮想プライベートクラウド (VPC) とエンドポイントの間にプライベート接続を確立できます。

インターフェイスエンドポイントは、インターネットゲートウェイAWS PrivateLink、NAT デバイス、VPN 接続、または なしで AWS End User Messaging SMS APIs にプライベートにアクセスできるテクノロジーである を利用しています Direct Connect。VPC 内のインスタンスは、 と統合されている AWS エンドユーザーメッセージング SMS APIs と通信するためにパブリック IP アドレスを必要としません AWS PrivateLink。

詳細については、「AWS PrivateLink ガイド」を参照してください。

インターフェイス VPC エンドポイントの作成

Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、インターフェイスエンドポイントを作成できます。詳細については、「 AWS PrivateLink ガイド」の「インターフェイスエンドポイントの作成」を参照してください。

AWS エンドユーザーメッセージング SMS は、次のサービス名をサポートしています。

インターフェイスエンドポイントのプライベート DNS を有効にすると、 などの のデフォルトの DNS 名を使用して AWS リージョン、 AWS エンドユーザーメッセージング SMS に API リクエストを行うことができますcom.amazonaws.us-east-1.sms-voice。詳細については、「AWS PrivateLink ガイド」の「DNS ホスト名」を参照してください。

VPC エンドポイントポリシーの作成

VPC エンドポイントには、アクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。

詳細については、「AWS PrivateLink ガイド」の「Control access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)」を参照してください。

例: VPC エンドポイントポリシー

次の VPC エンドポイントポリシーは、すべてのリソースのすべてのプリンシパルに対して、リストされている AWS エンドユーザーメッセージング SMS アクションへのアクセスを許可します。

{
"Statement": [
    {
      "Principal": "*",
      "Action": [
        "sms-voice:*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}