保管中の暗号化転送中の暗号化ネットワーク間トラフィックのプライバシー暗号化キーの管理

AWS Secrets Manager でのデータ保護

AWS責任共有モデルは、AWS Secrets Manager でのデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウドのすべてを実行するグローバルインフラストラクチャを保護する責任を負います。顧客は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。このコンテンツには、使用される AWS サービスのセキュリティ構成と管理タスクが含まれます。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿されたAWS 責任共有モデルおよび GDPRブログを参照してください。

データを保護するため、AWS アカウントの認証情報を保護し、AWS Identity and Access Management (IAM) を使用して個々のユーザーアカウントをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。

各アカウントで多要素認証 (MFA) を使用します。
SSL/TLS を使用して AWS リソースと通信します。Secrets Manager は、すべてのリージョンで TLS 1.2 および 1.3 をサポートしています。また、Secrets Manager は TLS (PQTLS) ネットワーク暗号化プロトコル用のハイブリッドポスト量子キー交換オプションもサポートしています。
IAM プリンシパルに関連付けられているアクセスキー ID とシークレットアクセスキーを使用して、Secrets Manager へのプログラムリクエストに署名します。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
AWS CloudTrail で API とユーザーアクティビティログをセットアップします。「で AWS Secrets Manager イベントをログに記録する AWS CloudTrail」を参照してください。
コマンドラインインターフェイスまたは API を使用して AWS にアクセスするときに FIPS 140−2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。「AWS Secrets Manager エンドポイント」を参照してください。
AWS CLI を使用して Secrets Manager にアクセスする場合、「AWS CLI を使用して AWS Secrets Manager のシークレットを保存する際のリスクを軽減する」の手順に従います。

保管中の暗号化

Secrets Manager は AWS Key Management Service (AWS KMS) を介して暗号化を使用し、保管中のデータの機密性を保護します。AWS KMS には、多くの AWS のサービスが使用するキーストレージおよび暗号化サービスが用意されています。Secrets Manager のシークレットはすべて、一意のデータキーで暗号化されます。各データキーは、KMS キーで保護されます。Secrets Manager AWS マネージドキーでアカウントにデフォルトの暗号化を使用することも、AWS KMS で独自のカスタマー管理キーを作成することもできます。カスタマー管理キーを使用すると、KMS キーアクティビティの認証をきめ細かく制御できます。詳細については、「でのシークレットの暗号化と復号 AWS Secrets Manager」を参照してください。

転送中の暗号化

Secrets Manager は、転送中のデータを暗号化するための安全なプライベートエンドポイントを提供します。安全なプライベートエンドポイントにより、AWS では、Secrets Manager への API リクエストの整合性を保護できます。AWS では、X.509 証明書や Secrets Manager シークレットアクセスキーを使用して、発信者が API コールに署名する必要があります。この要件は、署名バージョン 4 署名プロセス (Sigv4) に記載されています。

AWS Command Line Interface (AWS CLI)、またはいずれかのAWS SDK を使用して AWS を呼び出す場合は、アクセスキーを設定します。その後、これらのツールは自動的にアクセスキーを使用してリクエストに署名します。「AWS CLI を使用して AWS Secrets Manager のシークレットを保存する際のリスクを軽減する」を参照してください。

ネットワーク間トラフィックのプライバシー

AWS には、既知のネットワークルートとプライベートネットワークルートを経由してトラフィックをルーティングする際にプライバシーを維持するためのオプションが用意されています。

サービスとオンプレミスのクライアントおよびアプリケーションとの間のトラフィック

プライベートネットワークと AWS Secrets Manager との間には 2 つの接続オプションがあります

AWS Site-to-Site VPN 接続。詳細については、「AWS Site-to-Site VPN とは」を参照してください。
AWS Direct Connect 接続。詳細については、「AWS Direct Connect とは」を参照してください。

同じリージョン内の AWS リソース間のトラフィック

AWS で Secrets Manager と API クライアント間のトラフィックを保護する場合、AWS PrivateLink を設定して、Secrets Manager API エンドポイントにプライベートにアクセスするようにします。

暗号化キーの管理

Secrets Manager が保護されたシークレットデータの新しいバージョンを暗号化する必要がある場合、Secrets Manager は AWS KMS にリクエストを送信し、KMS キーから新しいデータキーを生成します。Secrets Manager は、このデータキーをエンベロープ暗号化に使用します。Secrets Manager は、暗号化されたシークレットを使用して、暗号化されたデータキーを保存します。シークレットを復号する必要がある場合、Secrets Manager は AWS KMS にデータキーを復号するよう求めます。Secrets Manager は、復号されたデータキーを使用して、暗号化されたシークレットを復号します。Secrets Manager では、データキーは暗号化されていない形式で保存されることはなく、キーはメモリから速やかに削除されます。詳細については、「でのシークレットの暗号化と復号 AWS Secrets Manager」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS CLI を使用して AWS Secrets Manager のシークレットを保存する際のリスクを軽減する

シークレット暗号化と復号