翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Kinesis Video Streams のセキュリティのベストプラクティス
<a name="security-best-practices"></a>

Amazon Kinesis Video Streams には、独自のセキュリティポリシーを策定および実装する際に考慮すべきさまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。

お客様のリモートデバイスのセキュリティベストプラクティスについては、[デバイスエージェントのセキュリティベストプラクティス](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-DetectMetricsMessagesBestPract.html)を参照してください。

## 最小特権アクセスの実装
<a name="security-best-practices-privileges"></a>

アクセス許可を付与する場合、どのユーザーにどの Kinesis Video Streams リソースに対するアクセス許可を付与するかは、お客様が決定します。これらのリソースで許可したい特定のアクションを有効にするのも、お客様になります。このため、タスクの実行に必要なアクセス許可のみを付与する必要があります。最小特権アクセスの実装は、セキュリティリスクと、エラーや悪意によってもたらされる可能性のある影響の低減における基本になります。

例えば、Kinesis Video Streams にデータを送るプロデューサーに必要なのは、`PutMedia`、`GetStreamingEndpoint`、および `DescribeStream` のみです。このため、すべてのアクション (`*`) や `GetMedia` などの他のアクションに必要なアクセス権限を、プロデューサーアプリケーションに付与しないでください。

詳細については、[What Is Least Privilege & Why Do You Need It?](https://www.beyondtrust.com/blog/entry/what-is-least-privilege)を参照してください。

## IAM ロールの使用
<a name="security-best-practices-roles"></a>

Kinesis Video Streams にアクセスするには、プロデューサーアプリケーションとクライアントアプリケーションに有効な認証情報が必要です。 AWS 認証情報は、クライアントアプリケーションや Amazon S3 バケットに直接保存しないでください。これらは、自動的にローテーションされない長期的な認証情報であり、侵害された場合にビジネスに大きな影響を与える可能性があります。

代わりに、IAM ロールを使用して、プロデューサーおよびクライアントアプリケーションが Kinesis Video Streams にアクセスするための一時的な認証情報を管理する必要があります。ロールを使用する場合、他のリソースにアクセスするために長期的な認証情報 (ユーザー名とパスワードやアクセスキーなど) を使用する必要はありません。

詳細については、IAM ユーザーガイド にある下記のトピックを参照してください。
+ [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [ロールの一般的なシナリオ: ユーザー、アプリケーション、およびサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html)

## CloudTrail を使用した API コールのモニタリング
<a name="security-best-practices-cloudtrail"></a>

Kinesis Video Streams は AWS CloudTrail、Kinesis Video Streams AWS のサービス のユーザー、ロール、または によって実行されたアクションを記録するサービスである と連携します。

CloudTrail で収集された情報を使用して、Kinesis Video Streams に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

詳細については、「[を使用した Amazon Kinesis Video Streams API コールのログ記録 AWS CloudTrail](monitoring-cloudtrail.md)」を参照してください。