翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Translate におけるデータ保護
<a name="data-protection"></a>

Amazon Translate は 責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)に準拠しています。 には、データ保護に関する規制とガイドラインが含まれています。 AWS は、すべての AWS サービスを実行するグローバルインフラストラクチャを保護する責任があります。 は、このインフラストラクチャでホストされるデータの制御 AWS を維持します。 お客様のコンテンツと個人データを処理するためのセキュリティ設定コントロールを含めます。 AWS のお客様および APN パートナー、 データコントローラーまたはデータ処理者として動作する は、 AWS クラウドに保存した個人データについて責任を負います。

データ保護の目的で、 AWS アカウント認証情報を保護し、 AWS Identity and Access Management (IAM) でロールを設定することをお勧めします。これにより、各ユーザーに各自の職務を果たすために必要なアクセス許可のみが付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。
+  AWS 暗号化ソリューションと、 AWS サービス内のすべてのデフォルトのセキュリティコントロールを使用します。
+ Amazon Simple Storage Service (Amazon S3) に保存されている個人情報の発見と保護を支援する Amazon Macie などの高度なマネージド・セキュリティ・サービスを利用します。

顧客のアカウント番号などの機密の識別情報は、**[名前]** フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、 AWS CLIまたは SDK を使用して Amazon Translate または他の AWS サービスを使用する場合も同様です。 AWS SDKs Amazon Translate や他のサービスに入力したすべてのデータは、診断ログに取り込まれる可能性があります。外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。

データ保護の詳細については、*AWS セキュリティブログ* のブログ投稿「[AWS の責任共有モデルと GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」を参照してください。

**Topics**
+ [保管中の暗号化](encryption-at-rest.md)
+ [転送中の暗号化](encryption-in-transit.md)

# 保管中の暗号化
<a name="encryption-at-rest"></a>

Amazon Translate で実行するバッチ翻訳ジョブについては、翻訳の入力と出力の両方が保存時に暗号化されます。ただし、暗号化方法はそれぞれ異なります。

Amazon Translate では、デフォルトキーで暗号化された Amazon Elastic Block Store (Amazon EBS) ボリュームも使用します。

## 翻訳入力
<a name="encryption-at-rest-input"></a>

Amazon Translate を使用してドキュメントをバッチ単位で翻訳する場合、一連の入力ドキュメントを Amazon S3 バケットに保存します。これらのドキュメントを保存中に暗号化するには、Amazon S3 により提供される SSE-S3 サーバーサイド暗号化オプションを使用できます。このオプションを使用すると、各オブジェクトは、Amazon S3 が管理する一意のキーで暗号化されます。

詳細については、**「Amazon Simple Storage Service ユーザーガイド」の「[Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)」を参照してください。

## 翻訳出力
<a name="encryption-at-rest-output"></a>

Amazon Translate がバッチ翻訳ジョブを完了すると、出力は AWS アカウントの Amazon S3 バケットに配置されます。保存時の出力を暗号化するために、Amazon Translate では Amazon S3 により提供される SSE-KMS 暗号化オプションを使用します。このオプションでは、出力は AWS Key Management Service () に保存されているキーで暗号化されますAWS KMS。

詳細については、「**Amazon Simple Storage Service ユーザーガイド」の「[AWS Key Management Service (SSE-KMS) によるサーバーサイド暗号化を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)」を参照してください。

KMS キーの詳細については、「AWS Key Management Service デベロッパーガイド**」の「[AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)」を参照してください。

この暗号化のために、Amazon Translate では次のいずれかのタイプのキーを使用できます。

**AWS マネージドキー**  
デフォルトでは Amazon Translate では *AWS マネージドキー* が使用されます。このタイプの KMS キーは、 によって作成 AWS され、アカウントに保存されます。ただし、この KMS キーをユーザー自身が管理することはできません。これは、ユーザーに代わって AWSによってのみ管理と使用が行われます。

**カスタマーマネージドキー**  
オプションで、 AWS アカウントで作成、所有、管理する KMS *キーであるカスタマーマネージド*キーを使用して出力を暗号化することもできます。  
自作の KMS キーを使用できるようにするには、Amazon S3 の出力バケットにアクセスするために Amazon Translate により使用される IAM サービスロールに対して、あらかじめアクセス許可を追加しておく必要があります。別の AWS アカウントにある KMS キーを使用する場合は、キーポリシーも更新する必要があります AWS KMS。詳細については、「[暗号化をカスタマイズするための前提となるアクセス許可](async-prereqs.md#async-prereqs-permissions-custom-encryption)」を参照してください。  
バッチ翻訳ジョブの実行時におけるカスタマーマネージドキーの使用を選択できます。詳細については、「[バッチ翻訳ジョブの実行](async-start.md)」を参照してください。

# 転送中の暗号化
<a name="encryption-in-transit"></a>

Amazon Translate では、転送中のデータを暗号化するために、TLS 1.2 を AWS 証明書とともに使用します。