翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のセキュリティAWS Step Functions
でのクラウドセキュリティが最優先事項AWSです。お客様はAWS、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。
セキュリティは、 AWSとお客様の間の責任共有です。責任共有モデル
-
クラウドのセキュリティ – AWSクラウドでAWSサービスを実行するインフラストラクチャを保護するAWS責任があります。AWSまた、 では、安全に使用できるサービスも提供しています。「AWS」 コンプライアンスプログラム
の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。が適用されるコンプライアンスプログラムの詳細についてはAWS Step Functions、AWS「コンプライアンスプログラムによる対象範囲内のサービス 」を参照してください。 -
クラウド内のセキュリティ - ユーザーの責任は、使用する AWS のサービスに応じて異なります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、Step Functions を使用する際の責任共有モデルの適用方法を理解するのに役立ちます。次のトピックでは、セキュリティおよびコンプライアンスの目的を満たすように Step Functions を設定する方法について説明します。また、Step Functions リソースのモニタリングや保護に役立つ他の AWSサービスの使用方法についても説明します。
Step Functions は IAM を使用して、他のAWSサービスやリソースへのアクセスを制御します。IAM の仕組みの概要については、「IAM ユーザーガイド」の「アクセス管理の概要」を参照してください。セキュリティ認証情報の概要については、「Amazon Web Services 全般のリファレンス」の「AWS セキュリティ認証情報」を参照してください。
Step Functions のコンプライアンス検証
サードパーティーの監査者は、複数のコンプライアンスプログラムの一環として AWS Step FunctionsのセキュリティとAWSコンプライアンスを評価します。これらのプログラムには、SOC、PCI、FedRAMP、HIPAA などがあります。
特定のコンプライアンスプログラムの対象となるAWSサービスのリストについては、「コンプライアンスAWSプログラムによる対象範囲内のサービスコンプライアンス
を使用して、サードパーティーの監査レポートをダウンロードできますAWS Artifact。詳細については、「Downloading Reports inAWS Artifact」を参照してください。
Step Functions を使用する際のお客様のコンプライアンス責任は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。 は、コンプライアンスに役立つ以下のリソースAWSを提供します。
-
セキュリティとコンプライアンスのクイックスタートガイド
– これらのデプロイガイドでは、アーキテクチャ上の考慮事項について説明し、セキュリティとコンプライアンスに重点を置いたベースライン環境をデプロイする手順について説明しますAWS。 -
アマゾン ウェブ サービスにおける HIPAA セキュリティとコンプライアンスのアーキテクチャ – このホワイトペーパーでは、企業が AWSを使用して HIPAA 準拠のアプリケーションを作成する方法について説明します。
-
AWS コンプライアンスリソース
– このワークブックとガイドのコレクションは、お客様の業界や地域に適用される場合があります。 -
「 デベロッパーガイド」の「ルールによるリソースの評価」 – このAWS Configサービスは、リソース設定が内部プラクティス、業界ガイドライン、および規制にどの程度準拠しているかを評価します。 AWS Config
-
AWS Security Hub CSPM – このAWSサービスは、 内のセキュリティ状態を包括的に把握AWSし、セキュリティ業界標準とベストプラクティスへの準拠を確認するのに役立ちます。
Step Functions の耐障害性
AWSグローバルインフラストラクチャは、AWSリージョンとアベイラビリティーゾーンを中心に構築されています。AWSリージョンは、低レイテンシー、高スループット、および高度に冗長なネットワークで接続された、物理的に分離された複数のアベイラビリティーゾーンを提供します。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、フォールトトレランス、および拡張性が優れています。
AWSリージョンとアベイラビリティーゾーンの詳細については、AWS「 グローバルインフラストラクチャ
Step Functions には、 AWSグローバルインフラストラクチャに加えて、データの耐障害性とバックアップのニーズをサポートするのに役立つ機能がいくつか用意されています。
Step Functions のインフラストラクチャセキュリティ
マネージドサービスとして、 は AWSグローバルネットワークセキュリティで保護されています。AWSセキュリティサービスと がインフラストラクチャAWSを保護する方法については、AWS「 クラウドセキュリティ
AWSが公開した API コールを使用して、ネットワーク経由で にアクセスします。クライアントは以下をサポートする必要があります。
-
Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
-
DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
AWSAPI オペレーションは任意のネットワークロケーションから呼び出すことができますが、ソース IP アドレスに基づく制限を含むリソースベースのアクセスポリシーStep Functionsはサポートされていません。さらに、Step Functions ポリシーを使用して、特定の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントや特定の VPC からアクセスを制御することもできます。これにより、実質的に、ネットワーク内の特定の VPC からのみ、特定のStep FunctionsリソースへのAWSネットワークアクセスが分離されます。
