s u m m i t - pages.awscloud.com · の分析 データ保護の ... aws secrets manager aws...
TRANSCRIPT
S U M M I TTo k y o
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS環境におけるデータ保護の実装
能仁 信亮アマゾン ウェブ サービス技術統括本部 金融ソリューション部シニア ソリューション アーキテクト
A 1 - 0 3
保坂 匠アマゾン ウェブ サービス ジャパン技術統括本部 金融ソリューション部ソリューション アーキテクト
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
本セッションで取り扱う内容
セクション1:
AWS上のデータとリソースに対するアクセス権限
セクション2:
AWS環境におけるデータ暗号化と鍵管理
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
自己紹介
名前
保坂 匠(ほさか たくみ)
役職
技術統括本部 金融ソリューション部
ソリューション アーキテクト
好きなAWS サービス
AWS Identity and Access Management (IAM)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
このセクションの目的:IDとアクセス管理
• データ保護に対する基本原則とアプローチを理解する
• 特にAWS上のデータとAWSリソースに対するアクセス管理の方法を理解する
• IDとアクセス管理の観点で、AWS上のデータを保護するための実装例を知る
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
機密性、完全性、可用性 - 情報セキュリティの三要素
機密性Confidenciality
完全性Integrity
可用性Availability
✓ 権限を持った人だけがアクセスできる
✓ データの漏洩や不正な持ち出しからの保護
✓ データに信頼性があり、整合性がとれている
✓ データの破損や改竄からの保護
✓ タイムリーにデータにアクセスできる
✓ DoS攻撃や故障による損失からの保護
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
データ保護の基本的なアプローチ
インフラセキュリティ
IDとアクセス管理
データ暗号化
不正なトラフィック
の検出
設定変更の検出
監査
データ特性の分析
• 保護データの選定
• 対象データの分類
• 脅威とリスクの抽出
• 頻度と影響の評価
• 対応方法の決定と実装方法の検討
• 統制状態の維持
• インシデント対応
• 監査対応
脅威とリスクの分析
データ保護の実装
統制のモニタリング
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWSサービスを用いたデータ保護
Amazon Elastic Load Balancing
AWS Secrets Manager
AWS Certificate Manager
Amazon EBS
Amazon S3
Amazon RDS
Amazon DynamoDB
AWS KeyManagement Service(KMS)
AWS IAM
AWS CloudTrail
暗号鍵の管理
アクセス権限の管理
データアクセスの監査
キーのインポート
シークレットの管理
SSL/TLS証明書の管理
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Identity and Access Management (IAM)アイデンティティ (プリンシパル)AWS上で利用可能なアクターのアイデンティティ (ユーザー、ロール等)
IAM上でアイデンティティの認証、または外部のIDプロバイダーとフェデレーションが可能
APIアクションプリンシパルがAWS APIコールによってリクエストしたアクション
AWSサービスごとに固有のアクションセット
リソースAPIアクションによって操作される対象のAWSリソース
一部のリソースではリソース自体にポリシーを設定することが可能
コンディションそのAPIアクションが許可(拒否)される、より詳細な条件
よりセキュアなアクセスコントロールのために、できるだけ条件を絞り込む
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
最小権限の原則
本当に必要な権限だけを定義するには✓ そのAWSサービスでどんなアクションがサポートされているか理解する
✓ ある特定のタスクを実行するのに必要となるAPIアクションを特定する
✓ そのアクションを実行するのに必要となる権限を決定する
セキュリティのベストプラクティス✓ 最低限の権限セットを付与し、必要に応じて権限を追加する
✓ 付与した権限セットが最小権限になっているか定期的に確認する
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
ライフサイクル管理タスク 利用可能なAWSサービス・機能 参照リンク先
過剰な権限、不要になった権限を削除
AWS IAM アクセスアドバイザー• https://docs.aws.amazon.com/ja_jp/IAM/latest/U
serGuide/access_policies_access-advisor-view-data.html
不要になったIAMユーザーを削除
AWS IAM アカウントの認証情報レポート
• https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_getting-report.html
認証情報の安全な保管とローテーション
AWS Secrets ManagerAWS Systems Manager パラメータストア
• https://docs.aws.amazon.com/ja_jp/secretsmanager/latest/userguide/rotating-secrets.html
• https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/systems-manager-parameter-store.html
暗号鍵の安全な保管とローテーション
AWS KMSAWS CloudHSM
• https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/rotate-keys.html
• https://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/manage-keys.html
SSL/TLS証明書の管理とローテーション
AWS Certificate Manager • https://docs.aws.amazon.com/ja_jp/acm/latest/userguide/managed-renewal.html
IDと権限のライフサイクル管理
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
データとAWSリソースに対するアクセス管理
データベース(Amazon RDS)
テーブル(Amazon
DynamoDB)
バケット(Amazon S3)
ボリューム(Amazon EBS)
スナップショット
暗号鍵
DB認証情報
データ
IAM認証情報 OS認証情報
データ:サービス毎にアクセス管理
リソース:AWS IAMでアクセス管理
IAM認証情報
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS CloudTrail: AWSリソースに対するアクティビティのロギング
・・・
"userIdentity": {"userName": "admin",・・・
},"eventTime": "2019-05-21T09:05:24Z","eventSource": "s3.amazonaws.com","eventName": "CreateBucket","sourceIPAddress": "xxx.xxx.xxx.xxx","requestParameters": {
"bucketName": "a1-03-data-protection-20190612",・・・
},・・・
AWS CloudTrailで取得したイベントログの例
このIAMユーザーが
この時刻に
このAPIアクションを呼び出した
このIPアドレスから
このリソース名で
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
典型的なデータアクセスパターン
S3バケットS3 VPCeIAMロール
IAMポリシー VPCエンドポイント(VPCe)ポリシー
バケットポリシー
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
IAMポリシーによるアクセス制限の例{"Version":"2012-10-17","Statement": [{"Effect": "Allow","Action": "s3:ListAllMyBuckets","Resource":"arn:aws:s3:::*"
},{"Effect": "Allow","Action": [ "s3:PutObject", "s3:GetObject","s3:DeleteObject"],
"Resource": "arn:aws:s3:::summittokyo/${aws:username}/*”,
"Condition": {"IpAddress": {"aws:SourceIp": ”203.0.113.0/24"
}}
}]
}
どんな条件のときにどのS3 APIアクションをそのIAMユーザー/ロールに許可するか?
• IAMの管理者がプリンシパルを中心に考えてアクセス権限を記述する
• ポリシー変数やタグを利用してスケールしやすく
S3バケットS3 VPCeIAMロール
IAMポリシー VPCeポリシー バケットポリシー
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
バケットポリシーによるアクセス制限の例
どのIAMユーザー/ロールにそのS3バケットへのアクセスを許可するか?
• S3バケットの管理者がそのバケットを中心に考えてアクセス権限を記述する
• クロスアカウントでアクセス権限を付与する際にはユーザーベースポリシーとAND条件で評価される
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::summittokyo/*",
"Condition": {
"Null": { "aws:MultiFactorAuthAge": true }
}
}
]
}
S3バケットS3 VPCeIAMロール
IAMポリシー VPCeポリシー バケットポリシー
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Cloud
VPC
VPCeを用いたバケットポリシーよるアクセス制限の例 {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-VPCe-only",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::summittokyo",
"arn:aws:s3:::summittokyo/*”
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
S3バケットS3 VPCeIAMロール
IAMポリシー VPCeポリシー バケットポリシー
AWS Management Console
○
×
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
VPCeポリシーによるアクセス制限の例
そのVPCeを経由してきたとき、どのIAMユーザー/ロールに、どのS3バケットにアクセスを許可するか?
VPCeポリシーはVPCeに直接アタッチされるが、これだけでそのS3バケットにアクセス権限を付与するわけではない (IAMポリシー/バケットポリシーで許可が必要)
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": ”block-non-org",
"Effect": ”Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "*",
"Condition": {"StringNotEquals":
{"aws:PrincipalOrgID":[
"o-33pzw9herg”
]
}
}
},
(続く)
S3バケットS3 VPCeIAMロール
IAMポリシー VPCeポリシー バケットポリシー
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
VPCeポリシーによるアクセス制限の例(続き)
{
"Sid": "Access-to-specific-bucket-only",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*”,
"Resource": [
"arn:aws:s3:::summittokyo",
"arn:aws:s3:::summittokyo/*”
]
}
]
}
S3バケットS3 VPCeIAMロール
IAMポリシー VPCeポリシー バケットポリシー
そのVPCeを経由してきたとき、どのIAMユーザー/ロールに、どのS3バケットにアクセスを許可するか?
VPCeポリシーはVPCeに直接アタッチされるが、これだけでそのS3バケットにアクセス権限を付与するわけではない (IAMポリシー/バケットポリシーで許可が必要)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
データアクセスの権限を経路とポリシーで縛る+ 暗号化
S3バケットS3 VPCeIAMロール
IAMポリシー VPCeポリシー バケットポリシー
KMS CMK
KMS キーポリシー
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
クラウドでデータの統制を維持するために
“復号に必要な鍵は私が管理している“✓ 他のクラウド利用者から自分のデータを守りたい
✓ クラウドベンダーからも自分のデータを守りたい
“非暗号化データへの許可されていないアクセスは排除する”✓ 鍵自体も安全に管理しなければならない
✓ 鍵へのアクセスも管理しなければならない
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
このセクションでのまとめ
• AWS IAMのポリシーを用いてデータアクセス権限の付与と条件を限定することができます
• 最小権限になっているか、スケールするか
• データおよびデータを含むAWSリソースとでは認証と認可を提供する主体が異なることもあります
• IDと権限のライフサイクル管理やAWSリソースに対するアクディビティの監視も重要なタスクです
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
自己紹介
能仁 信亮(のうにん しんりょう)金融ソリューション部
ソリューション アーキテクト
普段の仕事
金融機関のお客様へクラウド活用のご支援をさせていただいております
好きなAWSのサービス
Amazon S3, AWS KMS, AWS Service Catalog
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
暗号化と鍵管理: このセクションの目的
• AWSを利用する際の鍵管理の選択肢とそれぞれの特徴を理解する
• そのなかでもAWS Key Management Service (KMS) のアーキテクチャを理解する
• 目的に応じたAWS KMSの構成や設定を知る
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
暗号化と鍵管理: このセクションの目的
• AWSを利用する際の鍵管理の選択肢とそれぞれの特徴を理解する
• そのなかでもAWS Key Management Service (KMS) のアーキテクチャを理解する
• 目的に応じたAWS KMSの構成や設定を知る
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
平文のデータ
ハードウェア /ソフトウェア
暗号化されたデータ
ストレージ上の暗号化データ
暗号化されたデータ
キー
データキー
マスターキー
データキー?
?
なぜ鍵管理が必要か
平文の鍵はどこかには存在し、管理が必要
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS環境で利用する暗号鍵の管理
AWS KMS AWS CloudHSM オンプレミスのHSMなどの独自鍵管理
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS環境での鍵管理の選択肢
AWS KMS AWS CloudHSM 独自の鍵管理
構成マルチテナントのマネージドサービス
排他的に制御できる専用のHSMをVPC内で直接利用
独自
AWSサービスとの連携 50以上のサービスと連携 限定的 限定的
鍵のアクセス管理方法AWS利用者が設定したAWSポリシー
HSMのアクセス管理機能 独自
パフォーマンス/スケールに責任を負うのは誰か
AWS AWS/AWS利用者 AWS利用者
料金体系マスターキーおよびAPIリクエスト単位
時間単位 独自
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
暗号化と鍵管理: このセクションの目的
• AWSを利用する際の鍵管理の選択肢とそれぞれの特徴を理解する
• そのなかでもAWS Key Management Service (KMS) のアーキテクチャを理解する
• 目的に応じたAWS KMSの構成や設定を知る
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Key Management Service (AWS KMS)
暗号鍵の作成、管理、運用のためのサービス• 可用性、物理的セキュリティ、ハードウェアの管理をAWS が担当するマネー
ジドサービス
• 暗号鍵を保存、暗号鍵を使用するための安全なロケーションを提供
• マスターキーはFIPS 140-2検定済暗号化モジュールによって保護
AWSサービスとの統合 (S3, EBS, Redshift, RDS, Snowball等)
SDKとの連携でお客様の独自アプリケーションデータも暗号化
AWS CloudTrailと連動したログの生成による組み込み型監査
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS KMSにおける暗号鍵のヒエラルキー
• 複数層のの暗号鍵ヒエラルキー
• 個別のデータキーによるユーザーデータの暗号化
• AWS KMS マスターキーによるデータキーの暗号化
• Envelope Encryptionを利用
• データキーの漏洩リスクを限定化
• ラージデータを暗号化する場合のパフォーマンスメリット
• 少数のマスターキーを管理することで管理性を向上
• 鍵利用に関する中央集中アクセスと監査
Amazon S3 Object
Amazon EBS Volume
Amazon Redshift Cluster
CustomApplication
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS KMSのアーキテクチャー
KMShost
KMShost
KMShost
HSM
HSM
HSM(Hardware Security
Module)
CMK(暗号化された)
KM
S I
nte
rface
• 暗号化キーのニーズに合わせて自動でスケール• 複数のアベイラビリティーゾーンによる高可用性• CMKは高耐久、低レイテンシーのストレージに、暗号
化された状態で保存し、99.999999999%の耐久性を実現
• 内部の通信はすべて暗号化されている
Domain
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
暗号化と鍵管理: このセクションの目的
• AWSを利用する際の鍵管理の選択肢とそれぞれの特徴を理解する
• そのなかでもAWS Key Management Service (KMS) のアーキテクチャを理解する
• 目的に応じたAWS KMSの構成や設定を知る
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
鍵のインポート - Bring Your Own Keys(BYOK)
• お客様所有のKMIで鍵を生成し、その鍵のコピーをAWS KMSにインポート
• インポートされた鍵は、AWS KMSで生成された鍵と同様に、AWS KMSと統合されたAWSのサービスで、または独自のアプリケーションで使用可能
• 鍵の有効期限指定が可能
• 鍵の削除、再インポートが可能
• 運用負荷とインポートの利点を十分に考慮する必要あり
CMKコンテナの作成
ラッピングキーのダウンロード
ラッピングキーでImport鍵を暗号化
有効期限を指定してKMSへImport
空のCMKコンテナ
作成
ダウンロード
RSA public key
KMS
KMS
KMSの公開鍵で暗号化した256bit 鍵
エクスポート
自社KMI
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
BYOK利用時の考慮点
• インポートした鍵の自動ローテーションは不可。随時手動でローテーションする。
• インポート後はAWS KMS生成のCMKと同等の可用性であるが、耐久性は異なり、リージョン障害などの場合に自動復旧されない。
• 有効期限が過ぎた鍵はKMSによって削除される。AWS KMS生成のCMKは7日〜30日の待機時間があるのに対して、即時に削除。インポートの再実施で復旧可能。
• 上記の耐久性と削除(特にオペレーションミスによる削除)の対応として、鍵を必ず保管しておくことが運用の前提。
詳細)https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/importing-keys.html
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS KMS カスタムキーストア
Clients
AWSServices
AWS KMS AWS CloudHSM
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
これまでの利用形態
VPC
CloudHSMクラスター
AWS SDKを利用したアプリケーション
KMS 標準キーストア
AWS KMS
KMS エンドポイント
KMS HSM フリート
50以上のAWS
サービス
AWS Cloud
PKCS#11, JCEなどを利用したカスタム
クライアント
Amazon S3 Amazon RDS Amazon DynamoDB
AWSCloudHSM
AWS Tools and SDKs
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS KMS カスタムキーストア
VPC
CloudHSMクラスター
AWS SDKを利用したアプリケーション
KMS 標準キーストア
AWS KMS
KMS エンドポイント
KMS HSM フリート
50以上の
AWSサービス
AWS Cloud
カスタムキーストアコネクター
PKCS#11, JCEなどを利用したカスタム
クライアント
Amazon S3 Amazon RDS Amazon DynamoDB
AWSCloudHSM
AWS Tools and SDKs
KMSのCMKをCloudHSMで生成、保管可能に
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS KMS カスタムキーストアを利用するケース
前提: FIPS 140-2 検証済み暗号化モジュールによって保護されるデフォルトの AWS KMS キーストアで、多くの場合セキュリティ要求を満たす
カスタムキーストアの利用を検討するケース:1. 規制要件などによりキーマテリアルをマルチテナント環境に保存できない場合
2. キーマテリアルを複数の AWS リージョンにバックアップする必要がる場合
3. キーマテリアルを生成して保存する HSM が、FIPS 140-2 レベル 3 で認定を受けている必要がある場合(標準の KMS キーストアに使用される HSM はレベル 2 認証されていて、複数のカテゴリではレベル 3)
4. キーマテリアルを KMS からすぐに削除し、それを証明できることが必要な場合(BYOKでも即時削除は可能)
5. KMS または AWS CloudTrail とは無関係に、使用しているすべてのキーを監査できるという要件がある場合
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
鍵へのアクセス権限の管理
各々の CMK はパーミッションを定義するリソースポリシーをもつ
鍵に対するパーミッションの例:
• <特定アカウント>の<特定のユーザー/ロール>のみ暗号化/復号可能
• アプリケーションAからは暗号化のみ可能で、アプリケーションBからは復号のみ可能
• 特定の管理者IAMユーザー/ロールからのみ、管理可能s
• <特定の外部アカウント>から暗号化/復号は可能だが、管理タスクは許可しない
AWS IAM ユーザー/ロールの ポリシーと同じ記法を利用
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS KMS Key Policy{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/AdminUser1"},
"Action": [
"kms:Create*",
"kms:Describe*", "kms:List*", "kms:Get*",
"kms:Enable*", "kms:Disable*",
“kms:Put*",
"kms:Update*",
"kms:Revoke*", "kms:Delete*",
"kms:TagResource","kms:UntagResource",
"kms:ScheduleKeyDeletion","kms:CancelKeyDeletion"
],
"Resource": "*"
}
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWSサービスでのKMS対応状況
https://aws.amazon.com/jp/kms/features/
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWSの各サービスのデータキーの利用方法
EC2/EBS モデル• KMSにより作成/復号されたリソースごとに一意なデータキーは、ハイパーバーザーの揮発性
メモリにリソースがアタッチされている限り保持される
• EC2やRDSなどのリソースを作成/起動するユーザー/ロールにCMKへのアクセス権限が必要
• 例: EBS, RDS, Redshift, WorkSpaces
S3 モデル• KMSにより作成/復号されたデータキーは、APIトランザクションの間のみサービスの揮発性
メモリに保持される
• API呼び出しを行うユーザー/ロールにCMKへのアクセス権限が必要
• 例: S3, AWS Secrets Manager, Amazon Kinesis, Amazon SQS
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS KMSの監査
• AWS KMSへのAPIアクセスに対する監査
• AWSの運用に対する監査
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS CloudTrail: KMS APIアクセスの監査
"EventName":"DecryptResult", …KMS APIアクションが呼び出された
"EventTiime":"2014-08-18T18:13:07Z", …時刻
"RequestParameters":"{¥"keyId¥":¥"2b42x363-1911-4e3a-8321-6b67329025ex”}”,
…参照されたキー
“EncryptionContext":"volumeid-12345", …このAWSリソースを保護するために
"SourceIPAddress":" 203.0.113.113", …このIPアドレスから
"UserIdentity":“{¥”arn¥“:¥”arn:aws:iam:: 111122223333:user/User123“}
…このAWS IMAユーザーから
.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS KMSに対するAWSの運用の例
• 平文のマスターキーには誰もアクセスできない• 幅広い堅牢化技術を使用してマスターキーを保護するように
設計• AWS Service Organization Controls (SOC)レポートを参照
• KMSサービス内でソフトウェアをアップデートするためのアクセスは、複数段階の承認プロセスによって管理• Amazonの独立したグループによって監査およびレビューを
実施
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
KMS 第三者認証
各種第三者認証のレポートはAWS Artifactからダウンロード
• AWS Service Organization Controls レポート
• PCI DSS レベル 1
• ISO 27017
• ISO 27018
• ISO 9001
• FIPS 140-2
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
参考資料
• AWS Key Management Service Cryptographic Details (2018年8月)https://d1.awsstatic.com/whitepapers/KMS-Cryptographic-Details.pdf
• AWS Key Management Service 暗号化の詳細 (2016年8月)https://d1.awsstatic.com/whitepapers/International/jp/KMS_Cryptographic_Details_JP.pdf
• AWS Key Management Service のベストプラクティス (2017年4月)https://d1.awsstatic.com/whitepapers/International/jp/KMS_Best_Practices_Whitepaper_JP.pdf
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
このセクションのまとめ
• AWSを利用する際の鍵管理の選択肢とそれぞれの特徴を理解する→ AWS KMSは50以上のAWSサービスと連携
• そのなかでもAWS Key Management Service (KMS) のアーキテクチャを理解する→ セキュリティと高可用性を実現するアーキテクチャ
• 目的に応じたKMSの構成や設定を知る→ 要件に応じて、BYOKやカスタムキーストアも利用可能
監査やアクセス権限の機能を活用する
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Related breakouts
AWS環境における脅威検知と対応 (Day1 13:00-、18:00-) 藤倉 和明, ソリューション アーキテクト, アマゾン ウェブ サービス
Transit Gateway Deep Dive アーキテクチャガイド (Day1 16:00-)菊池 之裕, ソリューション アーキテクト, アマゾン ウェブ サービス
マルチアカウント運用での権限移譲と統制の両立(Day2 16:00-)山辺 真行, コンサルタント, アマゾン ウェブ サービス
Security Best Practices on S3 (Day1 16:00-)焼尾 徹, ソリューション アーキテクト, アマゾン ウェブ サービス
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Thank you!
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
能仁 信亮[email protected]
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
お手元のサミットガイドブックの表紙、受講票にも記載している『QRコード』 からご回答ください。
もれなく素敵なAWSオリジナルグッズ&アイスをプレゼントします。
本セッションのFeedbackをお願いします
プレゼントの引き換えは、EXPOエリア内アンケートコーナー・出口付近のいずれかにお越しください。
涼感マフラータオル(巾着入り)