翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# でのデータ保護 AWS Supply Chain
<a name="data-protection"></a>

責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、 でのデータ保護に適用されます AWS Supply Chain。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+  AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して AWS CLI AWS Supply Chain または他の AWS のサービス を操作する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。



## によって処理されるデータ AWS Supply Chain
<a name="data-handled"></a>

特定の AWS Supply Chain インスタンスの承認されたユーザーがアクセスできるデータを制限するため、 AWS Supply Chain 内に保持されているデータは、 AWS アカウント ID と AWS Supply Chain インスタンス ID によって分離されます。

AWS Supply Chain は、ユーザー情報、データコネクタから抽出された情報、インベントリの詳細など、さまざまなサプライチェーンデータを処理します。

## オプトアウト設定
<a name="opt-out-preference"></a>

当社は、[AWS サービス条件](https://aws.amazon.com/service-terms/)に記載されているように AWS Supply Chain、 によって処理されたお客様のコンテンツを使用および保存することがあります。からオプトアウト AWS Supply Chain してコンテンツを使用または保存する場合は、AWS Organizations でオプトアウトポリシーを作成できます。オプトアウトポリシーの作成の詳細については、[「AI サービスのオプトアウトポリシー構文」と「例](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_syntax.html)」を参照してください。

## 保管中の暗号化
<a name="encryption-rest"></a>

PII として分類された問い合わせデータ、または によって保存 AWS Supply Chain されている 内の Amazon Q で使用されるコンテンツを含む顧客コンテンツを表すデータは AWS Supply Chain、保管時 (つまり、ディスクに格納、保存、または保存される前) に、時間制限があり、 AWS Supply Chain インスタンスに固有のキーで暗号化されます。

お客様のアカウントごとに固有の AWS Key Management Service データキーを使用した Amazon S3 サーバー側の暗号化は、すべてのコンソールとウェブアプリケーションのデータを暗号化するために使用されます。の詳細については AWS KMS keys、 AWS Key Management Service デベロッパーガイドの[「 とは AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」を参照してください。

**注記**  
AWS Supply Chain 機能 Supply Planning と N-Tier Visibility は、提供された KMS-CMK data-at-rest暗号化をサポートしていません。

## 転送中の暗号化
<a name="encryption-transit"></a>

 AWS Supply Chain と AWS Supply Chain 引き換えに Amazon Q で使用されるコンテンツを含むデータは、業界標準の TLS 暗号化を使用して、ユーザーのウェブブラウザと AWS Supply Chain 間の転送中に保護されます。

## キー管理
<a name="key-management"></a>

AWS Supply Chain は KMS-CMK を部分的にサポートしています。

での AWS KMS キーの更新については AWS Supply Chain、「」を参照してください[ステップ 2: インスタンスを作成する](creating-instance.md)。

## ネットワーク間トラフィックのプライバシー
<a name="inter-network-traffic-privacy"></a>

**注記**  
AWS Supply Chain は PrivateLink をサポートしていません。

の仮想プライベートクラウド (VPC) エンドポイント AWS Supply Chain は、接続のみを許可する VPC 内の論理エンティティです AWS Supply Chain。VPC はリクエストを にルーティング AWS Supply Chain し、レスポンスを VPC にルーティングします。詳細については、VPC ユーザーガイドの [VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)を参照してください。

## で が許可 AWS Supply Chain を使用する方法 AWS KMS
<a name="grants"></a>

AWS Supply Chain には、カスタマーマネージドキーを使用するための[許可](/kms/latest/developerguide/grants.html)が必要です。

AWS Supply Chain は、**CreateInstance** オペレーション中に渡される AWS KMS キーを使用して複数の許可を作成します。 は、[/kms/latest/APIReference/API_CreateGrant.html](/kms/latest/APIReference/API_CreateGrant.html)リクエストを送信することで、ユーザーに代わって許可 AWS Supply Chain を作成します AWS KMS。の権限 AWS KMS は、カスタマーアカウントの AWS KMS キー AWS Supply Chain へのアクセスを許可するために使用されます。

**注記**  
AWS Supply Chain は、独自の認可メカニズムを使用します。ユーザーが に追加されると AWS Supply Chain、 AWS KMS ポリシーを使用して同じユーザーのリストを拒否することはできません。

AWS Supply Chain は、以下の権限を使用します。
+ **GenerateDataKey** リスエストを AWS KMS に送信して、インスタンスに保管されたデータを [/forecast/latest/dg/data-protection.html#kms-grants](/forecast/latest/dg/data-protection.html#kms-grants) する。
+ インスタンスに関連付けられた暗号化されたデータを読み取る AWS KMS ために **Decrypt** リクエストを に送信するには。
+ *DescribeKey*、*CreateGrant*、*RetireGrant* のアクセス許可を追加して、Amazon Forecast などの他の AWS サービスに送信する際にデータを保護するには。

グラントへのアクセスの取り消しや、カスタマーマネージドキーに対するサービスのアクセスの取り消しは、いつでもできます。その場合、カスタマーマネージドキーによって暗号化されたデータにはアクセス AWS Supply Chain できず、そのデータに依存するオペレーションに影響します。

### の暗号化のモニタリング AWS Supply Chain
<a name="monitoring-rest"></a>

次の例は`Encrypt`、カスタマーマネージドキーによって暗号化されたデータにアクセス`Decrypt`するために によって呼び出される KMS オペレーションをモニタリング AWS Supply Chain するための 、`GenerateDataKey`、および の AWS CloudTrail イベントです。

------
#### [ Encrypt ]

```
              {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "scn.amazonaws.com"
    },
    "eventTime": "2024-03-06T22:39:32Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "172.12.34.56"
    "userAgent": "Example/Desktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
    },
    "responseElements": null,
    "requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "readOnly": true,
    "resources": [
        {
            "accountId": account ID,
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "112233445566",
    "sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
    "eventCategory": "Management"
}
```

------
#### [ GenerateDataKey ]

```
            {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "scn.amazonaws.com"
    },
     "eventTime": "2024-03-06T22:39:32Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "172.12.34.56"
    "userAgent": "Example/Desktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:s3:arn": "arn:aws:s3:::test/rawEvent/bf6666c1-111-48aaca-b6b0-dsadsadsa3432423/noFlowName/scn.data.inboundorder/20240306_223934_536"
        },
        "keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
        "keySpec": "AES_222"
    },
    "responseElements": null,
    "requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "readOnly": true,
    "resources": [
        {
            "accountId": account ID,
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "112233445566",
    "sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
    "eventCategory": "Management"
}
```

------
#### [ Decrypt ]

```
            {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "scn.amazonaws.com"
    },
     "eventTime": "2024-03-06T22:39:32Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "172.12.34.56"
    "userAgent": "Example/Desktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "readOnly": true,
    "resources": [
        {
            "accountId": account ID,
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "112233445566",
    "sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
    "eventCategory": "Management"
}
```

------