翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS End User Messaging Social でのデータ保護
<a name="data-protection"></a>

責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、 AWS エンドユーザーメッセージングソーシャルのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+  AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して AWS End User Messaging Social AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

**重要**  
WhatsApp は、安全な通信に Signal プロトコルを使用します。ただし、 AWS エンドユーザーメッセージングソーシャルはサードパーティーであるため、WhatsApp はこれらのメッセージをend-to-end暗号化と見なしません。WhatsApp データ保護の詳細については、[「データプライバシーとセキュリティ](https://developers.facebook.com/docs/whatsapp/cloud-api/overview/data-privacy-and-security)」および[WhatsApp 暗号化の概要](https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf)」ホワイトペーパーを参照してください。

## データ暗号化
<a name="data-encryption"></a>

AWS エンドユーザーメッセージング ソーシャルデータは、転送中および AWS 境界内で保管中に暗号化されます。 AWS End User Messaging Social にデータを送信すると、受信時にデータが暗号化され、保存されます。 AWS End User Messaging Social からデータを取得すると、現在のセキュリティプロトコルを使用してデータが送信されます。

### 保管中の暗号化
<a name="encryption-rest"></a>

AWS End User Messaging Social は、 AWS 境界内に保存するすべてのデータを暗号化します。これには、設定データ、登録データ、および AWS End User Messaging Social に追加するデータが含まれます。データを暗号化するために、 AWS End User Messaging Social は、サービスがユーザーに代わって所有および維持する internal AWS Key Management Service (AWS KMS) キーを使用します。 AWS KMSの詳細については、『[AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)』を参照してください。

## 転送中の暗号化
<a name="encryption-transit"></a>

AWS End User Messaging Social は、HTTPS と Transport Layer Security (TLS) 1.2 を使用して、クライアント、アプリケーション、および Meta と通信します。他の AWS サービスと通信するために、 AWS End User Messaging Social は HTTPS および TLS 1.2 を使用します。さらに、コンソール、 AWS SDK、または を使用して AWS エンドユーザーメッセージングソーシャルリソースを作成および管理する場合 AWS Command Line Interface、すべての通信は HTTPS および TLS 1.2 を使用して保護されます。

## キー管理
<a name="key-management"></a>

データを暗号化するために、 AWS End User Messaging Social は、サービスがユーザーに代わって所有および維持する内部 AWS KMS キーを使用します。これらのキーは定期的に更新されます。End AWS User Messaging Social に保存しているデータを暗号化するために、独自のキー AWS KMS やその他のキーをプロビジョニングして使用することはできません。

## ネットワーク間トラフィックのプライバシー
<a name="inter-network-traffic-privacy"></a>

*インターネットワークトラフィックのプライバシー*とは、 AWS End User Messaging Social とオンプレミスのクライアントとアプリケーション間、および AWS End User Messaging Social と同じ 内の他の AWS リソース間の接続とトラフィックを保護することです AWS リージョン。以下の機能とプラクティスは、 AWS エンドユーザーメッセージングソーシャルのインターネットネットワークトラフィックのプライバシーを保護するのに役立ちます。

### AWS エンドユーザーメッセージングソーシャルとオンプレミスのクライアントとアプリケーション間のトラフィック
<a name="inter-network-traffic-privacy-on-prem"></a>

End AWS User Messaging Social とオンプレミスネットワーク上のクライアントとアプリケーションの間にプライベート接続を確立するには、 を使用できます Direct Connect。これにより、標準の光ファイバーイーサネットケーブルを使用して、ネットワークを AWS Direct Connect ロケーションにリンクできます。ケーブルの一端はユーザーのルーターに接続します。もう 1 つのエンドは Direct Connect ルーターに接続されています。詳細については、*「 Direct Connectユーザーガイド」*の[「What is Direct Connect ?」](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)( とは？) を参照してください。

公開された APIs を通じて AWS End User Messaging Social へのアクセスを保護するために、API コールの AWS End User Messaging Social 要件に準拠することをお勧めします。 AWS End User Messaging Social では、クライアントが Transport Layer Security (TLS) 1.2 以降を使用する必要があります。また、クライアントは、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもサポートしている必要があります。モードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

さらに、リクエストは、 AWS アカウントの AWS Identity and Access Management (IAM) プリンシパルに関連付けられているアクセスキー ID とシークレットアクセスキーを使用して署名する必要があります。または、[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) を使用して一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。