セキュリティ
AWS インフラストラクチャでシステムを構築すると、お客様と AWS の間でセキュリティ上の責任が分担されます。ホストオペレーティングシステムや仮想化レイヤーから、サービスが運用されている施設の物理的なセキュリティに至るまで、AWS がコンポーネントを運用、管理、および制御するため、この共有モデル
IAM ロール
AWS Identity and Access Management (IAM) ロールにより、AWS クラウドのサービスとユーザーに対してアクセスポリシーとアクセス許可を詳細に割り当てることができます。このソリューションでは、このソリューションで使用されているその他の AWS サービスへのアクセスを AWS Lambda 関数に付与する IAM ロールを作成します。
Amazon Cognito
このソリューションで作成された Amazon Cognito ユーザーは、このソリューションの RestAPI にのみアクセスする権限を持つローカルユーザーです。このユーザーには、AWS アカウントの他のサービスにアクセスするアクセス許可はありません。詳細については、「Amazon Cognito デベロッパーガイド」の「Amazon Cognito ユーザープール」を参照してください。
このソリューションでは、フェデレーション ID プロバイダーの設定と Amazon Cognito のホスト UI 機能による外部 SAML サインインをオプションでサポートします。
Amazon CloudFront
このデフォルトソリューションは、Amazon S3 バケットでホストされたウェブコンソールをデプロイします。レイテンシーの削減とセキュリティ向上のため、このソリューションにはオリジンアクセスアイデンティティを持つ Amazon CloudFront
プライベートデプロイタイプがスタックのデプロイ時に選択された場合、CloudFront ディストリビューションはデプロイされないため、ウェブコンソールのホストには別のウェブホスティングサービスを使用する必要があります。
AWS WAF - ウェブアプリケーションファイアウォール
スタックで選択されたデプロイタイプが AWS WAF
重要
WAF IP 制限を設定する際は、CMF 自動化サーバーの IP アドレスまたは送信 NAT ゲートウェイ IP が、許可された CIDR 範囲に含まれていることを確認してください。これは、ソリューションの API エンドポイントにアクセスする必要がある CMF 自動化スクリプトが適切に機能するために重要です。
Amazon API Gateway
このソリューションは Amazon API Gateway REST API をデプロイし、デフォルトの API エンドポイントと SSL 証明書を使用します。デフォルトの API エンドポイントは TLSv1 セキュリティポリシーをサポートしています。TLS_1_2 セキュリティポリシーを使用して、TLSv1.2 以降を独自のカスタムドメイン名とカスタム SSL 証明書で適用することをお勧めします。詳細については、「Amazon API Gateway デベロッパーガイド」の「API Gateway におけるカスタムドメインの TLS の最小バージョンの選択」および「カスタムドメインの設定」を参照してください。
Amazon CloudWatch アラーム/Canary
Amazon CloudWatch アラームは、ソリューションの機能およびセキュリティ上の前提に従っていることをモニタリングするのに役立ちます。このソリューションには、AWS Lambda 関数と API Gateway エンドポイントのログ記録とメトリクスが含まれます。特定のユースケースに追加のモニタリングが必要な場合は、CloudWatch アラームを設定して以下をモニタリングできます。
-
API Gateway のモニタリング:
-
4XX および 5XX エラーのアラームを設定して、不正アクセスの試みや API の問題を検出する
-
API Gateway のレイテンシーをモニタリングしてパフォーマンスを確保する
-
API リクエストの数を追跡して異常なパターンを特定する
-
-
AWS Lambda 関数のモニタリング:
-
Lambda 関数のエラーとタイムアウトのアラームを作成する
-
Lambda 関数の実行時間をモニタリングして最適なパフォーマンスを確保する
-
スロットリングを防ぐために同時実行のアラームを設定する
-
これらのアラームは、CloudWatch コンソールまたは AWS CloudFormation テンプレートを使用して作成できます。CloudWatch アラームを作成する詳細な手順については、「Amazon CloudWatch ユーザーガイド」の「Amazon CloudWatch アラームの作成」を参照してください。
カスタマーマネージド AWS KMS キー
このソリューションは、データの保護に保管時の暗号化を使用し、顧客データには AWS マネージドキーを使用します。これらのキーは、ストレージレイヤーに書き込まれる前に、データを自動的かつ透過的に暗号化するために使用されます。一部のユーザーは、データ暗号化プロセスをより細かく制御したいと考えるかもしれません。このアプローチにより、独自のセキュリティ認証情報を自身で管理できるため、より高いレベルの制御と可視性が得られます。詳細については、「AWS Key Management Service デベロッパーガイド」の「基本概念」および「AWS KMS キー」を参照してください。
ログの保持
このソリューションは、アカウントに Amazon CloudWatch logs グループを作成することで、アプリケーションおよびサービスログをキャプチャします。デフォルトでは、ログは 10 年間保持されます。LogRetentionPeriod パラメータは、ロググループごとに調整できます。保持期間を無期限に設定したり、要件に応じて 1 日から 10 年の保持期間を選択できます。詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「Amazon CloudWatch Logs とは?」を参照してください。
Amazon Bedrock
このソリューションは、CloudFormation スタックのデプロイ中に、リージョンに最適な基盤モデルを自動的に選択します。選択プロセスでは、list_foundation_models() を呼び出す Lambda 関数を使用して、以下の優先順位から使用可能な最初のモデルを選択します。
-
anthropic.claude-sonnet-4-20250514-v1:0(Sonnet 4) -
anthropic.claude-3-7-sonnet-20250219-v1:0(Sonnet 3.7) -
anthropic.claude-3-5-sonnet-20241022-v2:0(Sonnet 3.5v2) -
anthropic.claude-3-5-sonnet-20240620-v1:0(Sonnet 3.5) -
anthropic.claude-3-sonnet-20240229-v1:0(Sonnet 3) -
amazon.nova-pro-v1:0(Nova Pro)
生成 AI 機能を使用するには、Bedrock コンソールを使用して AWS アカウントで選択したモデルを有効にする必要があります。生成 AI 機能を有効にしなくても、このソリューションのコア機能は完全に動作します。顧客は、AI アシスト機能を使用しない場合、手動入力でツールを使用することも選択できます。
デプロイ後、選択したモデルの ARN は、CloudFormation スタック出力の WPMStack の GenAISelectedModelArn フィールドにあります。
このソリューションのデフォルト設定では、次の目的で Amazon Bedrock ガードレールをデプロイします。
-
有害なコンテンツをフィルタリングする
-
ユースケースに関係のないプロンプトインジェクションをブロックする
詳細については、「Amazon Bedrock ガードレール
