SEC08-BP04 アクセスコントロールを適用する

最低限の権限によるアクセスコントロールや、バックアップ、分離、バージョニングなどのメカニズムを適用することは、保管中のデータの保護に役立ちます。オペレーターがデータへのパブリックアクセスを許可しないようにします。

アクセス (最小特権を使用)、バックアップ ( 信頼性ホワイトペーパーを参照)、隔離およびバージョニングなどのさまざまなコントロールはすべて、保管中のデータを保護するのに役立ちます。データへのアクセスは、CloudTrail などのこのホワイトペーパーで前述した探査メカニズムと、Amazon Simple Storage Service (Amazon S3) アクセスログなどのサービスレベルログを使用して監査する必要があります。パブリックにアクセス可能なデータをインベントリし、時間の経過とともに利用可能なデータ量の削減を可能にする方法を計画する必要があります。Amazon S3 Glacier のボールトロックと Amazon S3 オブジェクトロックは、必須のアクセス制御を提供する機能です。ボールトポリシーがコンプライアンスオプションを使用してロックされると、ロックの有効期限が切れるまではルートユーザーでも変更できません。このメカニズムは、SEC、CFTC、FINRA の帳簿および記録管理要件を満たしています。詳細については、このホワイトペーパーを参照してください.

このベストプラクティスを活用しない場合のリスクレベル: 低

実装のガイダンス

アクセスコントロールを適用する: 暗号キーへのアクセスを含め、最小権限を用いたアクセスコントロールを適用します。
- Amazon S3 リソースへのアクセス許可の管理の導入
さまざまな分類レベルに基づいてデータを分離する: AWS Organizations によって管理されるデータ分類レベルには、さまざまな AWS アカウントアカウントを使用します。
- AWS Organizations
AWS KMS ポリシーをレビューする: AWS KMS ポリシーで付与されるアクセスのレベルを確認します。
- AWS KMS リソースへのアクセス管理の概要
Amazon S3 バケットとオブジェクトアクセス許可をレビューする: Amazon S3 バケットのポリシーで付与されるアクセスのレベルを定期的に確認します。ベストプラクティスは、バケットを公開で読み取りまたは書き込み可能にしないことです。AWS Config を使用して公開されているバケットを検出し、Amazon CloudFront を使用して Amazon S3 からコンテンツを提供することを検討します。
- AWS Config ルール
- Amazon S3 + Amazon CloudFront: 理想的な組み合わせ
Amazon S3 バージョニングとオブジェクトロックを有効にします。
- バージョニングの使用
- Amazon S3 Object Lock を使ってオブジェクトをロックする
Amazon S3 インベントリを使用する: Amazon S3 インベントリは、オブジェクトのレプリケーションと暗号化ステータスの監査とレポートに使用できるツールの 1 つです。
- Amazon S3 インベントリ
Amazon EBS および AMI 共有アクセス許可をレビューする: 共有アクセス許可は、イメージとボリュームをワークロード外の AWS アカウントに共有することを可能にします。
- Amazon EBS スナップショットの共有
- 共有 AMI

リソース

関連するドキュメント:

AWS KMS 暗号化の詳細についてのホワイトペーパー

関連動画:

AWS でブロックストレージを保護する

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

SEC08-BP03 保管時のデータの保護を自動化する

SEC08-BP05 人をデータから遠ざけるメカニズムを使用する