Timestream for InfluxDB のセキュリティのベストプラクティス - Amazon Timestream
最小特権アクセスの実装IAM ロールの使用依存リソースでのサーバー側の暗号化の実装CloudTrail を使用して API コールをモニタリングするパブリックアクセシビリティ

Amazon Timestream for LiveAnalytics に類似した機能をご希望の場合は Amazon Timestream for InfluxDB をご検討ください。リアルタイム分析に適した、シンプルなデータインジェストと 1 桁ミリ秒のクエリ応答時間を特徴としています。詳細については、こちらを参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Timestream for InfluxDB のセキュリティのベストプラクティス

Amazon Timestream for InfluxDB には、独自のセキュリティポリシーを策定および実装する際に考慮すべきさまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。

最小特権アクセスの実装

アクセス許可を付与する場合、どのユーザーにどの Timestream for InfluxDB リソースに対するアクセス許可を付与するかは、お客様が決定します。これらのリソースで許可したい特定のアクションを有効にするのも、お客様になります。このため、タスクの実行に必要なアクセス許可のみを付与する必要があります。最小特権アクセスの実装は、セキュリティリスクと、エラーや悪意によってもたらされる可能性のある影響の低減における基本になります。

IAM ロールの使用

プロデューサーおよびクライアントアプリケーションは、Timestream for InfluxDB の DB インスタンスにアクセスするための有効な認証情報を持っている必要があります。 AWS 認証情報をクライアントアプリケーションや Amazon S3 バケットに直接保存しないでください。これらは自動的にローテーションされない長期的な認証情報であり、漏洩するとビジネスに大きな影響が及ぶ場合があります。

代わりに、IAM ロールを使用して、Timestream for InfluxDB の DB インスタンスにアクセスするためのプロデューサーおよびクライアントアプリケーションの一時的な認証情報を管理してください。ロールを使用するときは、他のリソースにアクセスするために長期的な認証情報 (ユーザー名とパスワード、またはアクセスキーなど) を使用する必要がありません。

詳細については、「IAM ユーザーガイド」にある下記のトピックを参照してください。

AWS Identity and Access Management (IAM) アカウントを使用して、Amazon Timestream for InfluxDB API オペレーション、特に Amazon Timestream for InfluxDB リソースを作成、変更、削除するオペレーションへのアクセスを制御します。そのようなリソースには、DB インスタンス、セキュリティグループ、およびパラメータグループなどがあります。

  • Amazon Timestream for InfluxDB リソースを管理するユーザー (本人を含む) ごとに個別のユーザーを作成します。Amazon Timestream for InfluxDB リソースの管理に AWS ルート認証情報を使用しないでください。

  • それぞれの職務の実行に最低限必要になる一連のアクセス許可を各ユーザーに付与します。

  • IAM グループを使用して、複数のユーザーのアクセス許可を効果的に管理します。

  • IAM 認証情報のローテーションを定期的に行います。

  • Amazon Timestream for InfluxDB のシークレットを自動的にローテーションするように AWS Secrets Manager を設定します。 InfluxDB 詳細については、AWS 「 Secrets Manager ユーザーガイド」の「Secrets Manager シークレットのローテーション」を参照してください。 AWS また、 AWS Secrets Manager から認証情報をプログラムで取得することもできます。詳細については、「AWS Secrets Manager ユーザーガイド」でシークレット値の取得方法を参照してください。

  • Timestream for InfluxDB influx API トークンの保護には API トークンを使用します。

依存リソースでのサーバー側の暗号化の実装

保管中のデータと転送中のデータは Timestream for InfluxDB 内で暗号化されます。詳細については、「転送中の暗号化」を参照してください。

CloudTrail を使用して API コールをモニタリングする

InfluxDB の Timestream は AWS CloudTrail、InfluxDB の Timestream でユーザー、ロール、または のサービスによって実行されたアクションを記録する AWS サービスである と統合されています。 InfluxDB

CloudTrail によって収集された情報を使用することで、Timestream for InfluxDB に対して行われたリクエスト、リクエストが行われた IP アドレス、リクエストを行った人、リクエストが行われた時間、その他の詳細を確認できます。

詳細については、「を使用した LiveAnalytics API コールの Timestream のログ記録 AWS CloudTrail」を参照してください。

Amazon Timestream for InfluxDB はコントロールプレーンの CloudTrail イベントをサポートしていますが、データプレーンはサポートしていません。詳細は、「コントロールプレーンとデータプレーン」を参照してください。

パブリックアクセシビリティ

Amazon VPC サービスに基づき、仮想プライベートクラウド (VPC) 内で DB インスタンスを起動する場合は、そのインスタンスのパブリックアクセシビリティをオンまたはオフにすることができます。作成した DB インスタンスにパブリック IP アドレスに解決される DNS 名を含むかどうかを指定するには、Public accessibility パラメータを使用します。このパラメータを使用することで、DB インスタンスに対するパブリックアクセスがあるかどうかを指定することができます。

DB インスタンスが VPC にあり、パブリックにアクセスできない場合は、 AWS Site-to-Site VPN 接続または AWS Direct Connect 接続を使用してプライベートネットワークからアクセスできます。

DB インスタンスがパブリックにアクセス可能な場合は、サービス拒否関連の脅威を阻止または軽減するための対策を講じる必要があります。詳細については、「サービス拒否攻撃の概要」および「ネットワークの保護」を参照してください。