翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Secrets Manager でのデータ保護
AWS責任共有モデル
データを保護するため、AWS アカウント の認証情報を保護し、AWS Identity and Access Management (IAM) を使用して個々のユーザーアカウントをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な許可のみを各ユーザーに付与できます。また、次の方法でデータを保護することをお勧めします。
-
各アカウントで多要素認証 (MFA) を使用します。
-
SSL/TLS を使用して AWS リソースと通信します。Secrets Manager は、すべてのリージョンで TLS 1.2 および 1.3 をサポートしています。また、Secrets Manager は TLS (PQTLS) ネットワーク暗号化プロトコル用のハイブリッドポスト量子キー交換オプションもサポートしています。
-
IAM プリンシパルに関連付けられているアクセスキー ID とシークレットアクセスキーを使用して、Secrets Manager へのプログラムリクエストに署名します。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
-
AWS CloudTrail で API とユーザーアクティビティログをセットアップします。「で AWS Secrets Manager イベントをログに記録する AWS CloudTrail」を参照してください。
-
コマンドラインインターフェイスまたは API を使用して AWS にアクセスするときに FIPS 140−2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。「AWS Secrets Manager エンドポイント」を参照してください。
-
AWS CLI を使用して Secrets Manager にアクセスする場合、「AWS CLI を使用して AWS Secrets Manager のシークレットを保存する際のリスクを軽減する」の手順に従います。
保管中の暗号化
Secrets Manager は AWS Key Management Service (AWS KMS) を介して暗号化を使用し、保管中のデータの機密性を保護します。AWS KMS には、多くの AWS のサービスが使用するキーストレージおよび暗号化サービスが用意されています。Secrets Manager のシークレットはすべて、一意のデータキーで暗号化されます。各データキーは、KMS キーで保護されます。Secrets Manager AWS マネージドキーでアカウントにデフォルトの暗号化を使用することも、AWS KMS で独自のカスタマー管理キーを作成することもできます。カスタマー管理キーを使用すると、KMS キーアクティビティの認証をきめ細かく制御できます。詳細については、「でのシークレットの暗号化と復号 AWS Secrets Manager」を参照してください。
転送中の暗号化
Secrets Manager は、転送中のデータを暗号化するための安全なプライベートエンドポイントを提供します。安全なプライベートエンドポイントにより、AWS では、Secrets Manager への API リクエストの整合性を保護できます。AWS では、X.509 証明書や Secrets Manager シークレットアクセスキーを使用して、発信者が API コールに署名する必要があります。この要件は、署名バージョン 4 署名プロセス (Sigv4) に記載されています。
AWS Command Line Interface (AWS CLI)、またはいずれかのAWS SDK を使用して AWS を呼び出す場合は、アクセスキーを設定します。その後、これらのツールは自動的にアクセスキーを使用してリクエストに署名します。「AWS CLI を使用して AWS Secrets Manager のシークレットを保存する際のリスクを軽減する」を参照してください。
ネットワーク間トラフィックのプライバシー
AWS には、既知のネットワークルートとプライベートネットワークルートを経由してトラフィックをルーティングする際にプライバシーを維持するためのオプションが用意されています。
- サービスとオンプレミスのクライアントおよびアプリケーションとの間のトラフィック
-
プライベートネットワークと AWS Secrets Manager との間には 2 つの接続オプションがあります
-
AWS Site-to-Site VPN 接続。詳細については、「AWS Site-to-Site VPN とは」を参照してください。
-
AWS Direct Connect 接続。詳細については、「AWS Direct Connect とは」を参照してください。
-
- 同じリージョン内の AWS リソース間のトラフィック
-
AWS で Secrets Manager と API クライアント間のトラフィックを保護する場合、AWS PrivateLink
を設定して、Secrets Manager API エンドポイントにプライベートにアクセスするようにします。
暗号化キーの管理
Secrets Manager が保護されたシークレットデータの新しいバージョンを暗号化する必要がある場合、Secrets Manager は AWS KMS にリクエストを送信し、KMS キーから新しいデータキーを生成します。Secrets Manager は、このデータキーをエンベロープ暗号化に使用します。Secrets Manager は、暗号化されたシークレットを使用して、暗号化されたデータキーを保存します。シークレットを復号する必要がある場合、Secrets Manager は AWS KMS にデータキーを復号するよう求めます。Secrets Manager は、復号されたデータキーを使用して、暗号化されたシークレットを復号します。Secrets Manager では、データキーは暗号化されていない形式で保存されることはなく、キーはメモリから速やかに削除されます。詳細については、「でのシークレットの暗号化と復号 AWS Secrets Manager」を参照してください。