「AWS Step Functions」 のセキュリティ
「AWS」 ではクラウドセキュリティが最優先事項です。セキュリティを最も重視する組織の要件を満たすために構築された 「AWS」 のデータセンターとネットワークアーキテクチャは、お客様に大きく貢献します。
セキュリティは、「AWS」 と顧客の間の責任共有です。責任共有モデル
-
クラウドのセキュリティ - 「AWS」 は、「AWS」 クラウドで 「AWS」 のサービスを実行するインフラストラクチャを保護する責任を負います。また、「AWS」 は、使用するサービスを安全に提供します。「AWS」 コンプライアンスプログラム
の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。「AWS Step Functions」 に適用されるコンプライアンスプログラムの詳細については、「コンプライアンスプログラムによる対象範囲内の 「AWS」 のサービス 」を参照してください。 -
クラウド内のセキュリティ - ユーザーの責任は、使用する 「AWS」 のサービスに応じて異なります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、Step Functions を使用する際の責任共有モデルの適用方法を理解するのに役立ちます。次のトピックでは、セキュリティおよびコンプライアンスの目的を満たすように Step Functions を設定する方法について説明します。また、Step Functions におけるリソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
Step Functions は IAM を使用して、他の AWS のサービスとリソースへのアクセスを制御します。IAM の仕組みの概要については、「IAM ユーザーガイド」の「アクセス管理の概要」を参照してください。セキュリティ認証情報の概要については、「Amazon Web Services 全般のリファレンス」の「AWS セキュリティ認証情報」を参照してください。
Step Functions のコンプライアンス検証
サードパーティーの監査者は、複数の AWS Step Functions コンプライアンスプログラムの一環として AWS のセキュリティとコンプライアンスを評価します。これらのプログラムには、SOC、PCI、FedRAMP、HIPAA などがあります。
特定のコンプライアンスプログラムの対象となる AWS サービスのリストについては、「コンプライアンスプログラムによる対象範囲内の AWS サービス
AWS Artifact を使用して、サードパーティーの監査レポートをダウンロードできます。詳細については、「AWS Artifact 内でのレポートのダウンロード」を参照してください。
Step Functions を使用する際のユーザーのコンプライアンス責任は、ユーザーのデータの機密性や貴社のコンプライアンス目的、適用される法律および規制によって決まります。AWS では、コンプライアンスに役立つ以下のリソースを提供しています。
-
「セキュリティ&コンプライアンスクイックリファレンスガイド
」 – これらのデプロイガイドには、アーキテクチャ上の考慮事項の説明と、AWS でセキュリティとコンプライアンスに重点を置いたベースライン環境をデプロイするための手順が記載されています。 -
「Amazon Web Services での HIPAA のセキュリティとコンプライアンスのためのアーキテクチャ」 – このホワイトペーパーは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法を説明しています。
-
AWS コンプライアンスのリソース
– このワークブックおよびガイドのコレクションは、お客様の業界と拠点に適用できる場合があります。 -
「AWS Config デベロッパーガイド」の「ルールによるリソースの評価」 - AWS Config サービスでは、リソースの設定が社内プラクティス、業界ガイドライン、および規制にどの程度準拠しているかを評価します。
-
AWS Security Hub CSPM:この AWS サービスでは、AWS 内のセキュリティ状態を総合的に表示しており、セキュリティ業界の標準およびベストプラクティスへの準拠を確認するのに役立ちます。
Step Functions の耐障害性
AWS のグローバルインフラストラクチャは AWS リージョンとアベイラビリティーゾーンを中心に構築されます。AWSリージョンには、低レイテンシー、高いスループット、そして高度の冗長ネットワークで接続されている複数の物理的に独立および隔離されたアベイラビリティーゾーンがあります。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、および拡張性が優れています。
AWS リージョンとアベイラビリティーゾーンの詳細については、AWS グローバルインフラストラクチャ
AWS グローバルインフラストラクチャに加えて、Step Functions は、データの耐障害性とバックアップのニーズに対応できるように複数の機能を提供しています
Step Functions のインフラストラクチャセキュリティ
これはマネージドサービスであり、AWS グローバルネットワークセキュリティで保護されています。AWSセキュリティサービスと AWS がインフラストラクチャを保護する方法については、「AWSクラウドセキュリティ
AWS 公開版 API コールを使用して、ネットワーク経由でアクセスします。クライアントは以下をサポートする必要があります。
-
Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
-
DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
これらのAWS API オペレーションは任意のネットワークの場所から呼び出すことができますが、Step Functions ではリソースベースのアクセスポリシーをサポートしていません。これにはアクセスポリシーが送信元 IP アドレスに基づく制限を含めることができます。さらに、Step Functions ポリシーを使用して、特定の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントや特定の VPC からアクセスを制御することもできます。これにより、実質的に Step Functions ネットワーク内の特定の VPC からの特定の AWS リソースへのネットワークアクセスが分離されます。
