翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Verified Permission でのデータ保護
責任 AWS 共有モデル
-
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM Identity Center または AWS Identity and Access Management () を使用して個々のユーザーを設定することをお勧めしますIAM。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。
-
次の方法でデータを保護することをお勧めします。
-
各アカウントで多要素認証 (MFA) を使用します。
-
SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 が必要です。
-
で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。
-
AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
-
などの高度なマネージドセキュリティサービスを使用して Amazon Macie、 に保存されている機密データの検出と保護を支援します Amazon S3。
-
コマンドラインインターフェイスまたは API を使用して AWS にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2
」を参照してください。
-
-
お客様の E メールアドレスなどの極秘または機密情報は、タグ、または名前フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これは、コンソール、API、または SDK AWS のサービス を使用して Verified Permissions AWS CLIまたは他の を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
-
アクション名には、機密情報を含めないでください。
-
また、エンティティ (リソースとプリンシパル) には、常に一意で、変更できない、再利用できない識別子を使用することを強くお勧めします。テスト環境では、
janeタイプのエンティティの名前にbobやUserなどの単純なエンティティ識別子を使用することを選択できます。ただし、実稼働システムでは、セキュリティ上の理由から、再利用できない一意の値を使用することが重要です。ユニバーサルユニーク識別子 (UUID) などの値を使用することをおすすめします。たとえば、会社を辞めるユーザーjaneを考えてみましょう。後で、他の人に名前janeを使わせます。その新しいユーザーは、まだUser::"jane"を参照しているポリシーによって付与されたすべてのものに自動的にアクセスできるようになります。Verified Permissions と Cedar は、新しいユーザーと以前のユーザーを区別できません。このガイダンスはプリンシパル識別子とリソース識別子の両方に適用されます。ポリシーに古い識別子が含まれているために意図せずアクセスを許可してしまうことがないように、常に一意であることが保証され、再利用されない識別子を使用してください。
-
LongおよびDecimal値を定義するために指定した文字列が各タイプの有効範囲内であることを確認してください。また、算術演算子を使用しても有効範囲外の値にならないようにしてください。範囲を超えると、操作によりオーバーフロー例外が発生します。エラーとなるポリシーは無視されます。つまり、許可ポリシーが予期せずアクセスを許可しなかったり、禁止ポリシーが予期せずアクセスをブロックできなかったりする可能性があります。
データ暗号化
Amazon Verified Permissions は、 ポリシーなどのすべての顧客データを で自動的に暗号化します AWS マネージドキー。Amazon Verified Permissions では、お客様は カスタマー管理キー を使用してデータを暗号化することもできます。
暗号化にカスタマーマネージドキーを使用する方法の詳細については、「」を参照してくださいAmazon Verified Permissions でのリソースの暗号化。
