翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# を使用して PCI DSS 4.0 の運用上のベストプラクティスを検証する AWS Config
*Amazon Web Services、Tala Qraitem、Alex Goff*
## 概要
[ペイメントカード業界データセキュリティ基準 (PCI DSS)](https://www.pcisecuritystandards.org/standards/pci-dss/) は、支払いデータを保護するために不可欠な技術面および運用面の規則を概説しています。PCI DSS は、決済カードアカウントのデータセキュリティを促進および強化するために開発されました。また、一貫したセキュリティ対策を世界中で採用することも促進しています。PCI DSS は、特に決済カードアカウントのデータがある環境向けに設計されていますが、決済エコシステムの他の要素を脅威から保護し、安全にするためにも使用できます。
PCI DSS バージョン 4.0 は、絶えず変化する要件に対処し、説明や追加のガイダンスを提供し、標準の構造と形式を改善するために公開されました。変更の詳細については、「[PCI DSS バージョン 3.2.1 から 4.0 への変更の概要](https://listings.pcisecuritystandards.org/documents/PCI-DSS-Summary-of-Changes-v3_2_1-to-v4_0.pdf)」を参照してください。
AWS Config [コンフォーマンスパック](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)は、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成するのに役立つ AWS Config ルールと修復アクションのコレクションです。コンフォーマンスパックは、 AWS アカウント および に単一のエンティティとしてデプロイすることも AWS リージョン、 の組織全体にデプロイすることもできます AWS Organizations。
PCI DSS バージョン 4.0 のコンフォーマンスパックは、バージョン 3.2.1 のコンフォーマンスパックを元に構築し、補強を加えたものです。コンフォーマンスパックのルールは、標準のルールにマッピングされます。詳細については、*添付ファイル*セクションで提供されているマッピングを参照してください。このコンフォーマンスパックは、2 つのバージョン ([グローバルリソースタイプ](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)を含むバージョンと除外するバージョン) から選択できます。
**重要**
コンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準に準拠した設計にはなっていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
## 前提条件と制限
**前提条件**
+ アクティブな AWS アカウントがある。
+ [セットアップします AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)。
+ [コンフォーマンスパックの前提条件](https://docs.aws.amazon.com/config/latest/developerguide/cpack-prerequisites.html)を満たしている。
+ [PCI DSS バージョン 3.2.1 コンフォーマンスパック](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS.yaml)をデプロイしている。
+ コンフォーマンスパックにアクセスして AWS Config 管理するアクセス許可がある。ポリシーの例については、このパターンの[追加情報](#verify-ops-best-practices-pci-dss-4-additional)セクションを参照してください。
**制限事項**
+ AWS アカウント には、それぞれ *の制限*と呼ばれるデフォルトのクォータがあります AWS のサービス。特に明記していない限り、クォータはリージョン固有です。一部のクォータについては引き上げをリクエストできますが、引き上げできないクォータもあります。単一アカウントコンフォーマンスパックおよび組織コンフォーマンスパックの制限など、[AWS Config サービスの制限](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html)について十分に理解しておいてください。
+ グローバルリソースタイプを含むこのコンフォーマンスパックのバージョンは、`us-east-1` リージョンでのデプロイのみを対象としています。
+ グローバルリソースタイプを除外するこのコンフォーマンスパックのバージョンは、次のリージョンでのデプロイのみを対象としています。
+ `ap-east-1`
+ `ap-south-1`
+ `ap-northeast-2`
+ `ap-southeast-1`
+ `ap-southeast-2`
+ `ap-northeast-1`
+ `ca-central-1`
+ `eu-central-1`
+ `eu-west-1`
+ `eu-west-2`
+ `eu-west-3`
+ `eu-north-1`
+ `sa-east-1`
+ `us-east-2`
+ `us-west-1`
+ `us-west-2`
## ツール
**AWS のサービス**
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) は、 のリソースの詳細ビュー AWS アカウント と、その設定方法を提供します。リソースがどのように相互に関連しているか、またそれらの構成が時間の経過とともにどのように変化したかを特定するのに役立ちます。
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) は、 AWS クラウドで実行されるアプリケーションとインフラストラクチャの管理に役立ちます。これにより、アプリケーションとリソースの管理が簡素化され、運用上の問題を検出して解決する時間を短縮し、 AWS リソースを大規模に安全に管理できます。
**コードリポジトリ**
コンフォーマンスパックは、[AWS Config コンフォーマンスパック](https://github.com/awslabs/aws-config-rules/tree/master/aws-config-conformance-packs) GitHub リポジトリにあります。このリポジトリには、PCI DSS バージョン 4.0 に関連する次のテンプレートが含まれています。
+ [Operational-Best-Practices-for-PCI-DSS-v4.0-including-global-resourcetypes.yaml](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-including-global-resourcetypes.yaml)
+ [Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml)
## エピック
### コンフォーマンスパックをデプロイし、管理します。
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| コンフォーマンスパックをダウンロードします。 | コンフォーマンスパックを `us-east-1` リージョンにデプロイする場合は、[Operational-Best-Practices-for-PCI-DSS-v4.0-including-global-resourcetypes.yaml](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-including-global-resourcetypes.yaml) テンプレートをダウンロードします。コンフォーマンスパックを別のリージョンにデプロイする場合は、[Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml) テンプレートをダウンロードします。 | DevOps エンジニア |
| (オプション) コンフォーマンスパックに変更を加えます。 | 組織の固有のニーズに合わせて、コンフォーマンスパックテンプレートに変更を加えることができます。例えば、カスタム修復アクションを作成できます。テンプレートを作成および変更する方法の詳細については、 AWS Config ドキュメントの[「カスタムコンフォーマンスパックのテンプレートの作成](https://docs.aws.amazon.com/config/latest/developerguide/custom-conformance-pack.html)」を参照してください。 | AWS 全般 |
| 適合パックをデプロイします。 | ターゲット AWS アカウント または にデプロイする場合は AWS リージョン、 AWS Config ドキュメントの[「適合パックのデプロイ](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-deploy.html)」の手順に従います。 AWS マネジメントコンソール または AWS Command Line Interface () を使用できますAWS CLI。で組織全体にコンフォーマンスパックをデプロイする場合は AWS Organizations、 AWS Systems Manager ドキュメントの[「高速セットアップを使用して AWS Config コンフォーマンスパックをデプロイする](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-cpack.html)」の手順に従います。 | AWS 全般 |
| (オプション) コンフォーマンスパックを編集します。 | コンフォーマンスパックを編集する場合は、 AWS Config ドキュメントの「コン[フォーマンスパックの編集](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-edit.html)」の手順に従います。 AWS マネジメントコンソール または を使用できます AWS CLI。 | AWS 全般 |
| (オプション) コンフォーマンスパックを削除します。 | コンフォーマンスパックを削除する場合は、 AWS Config ドキュメントの「コン[フォーマンスパックの削除](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-delete.html)」の手順に従います。 AWS マネジメントコンソール または を使用できます AWS CLI。 | AWS 全般 |
## 関連リソース
**AWS リソース**
+ [のコンフォーマンスパック AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) (AWS Config ドキュメント)
+ [高速セットアップを使用して AWS Config コンフォーマンスパックをデプロイ](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-cpack.html)する (Systems Manager ドキュメント)
+ [での PCI DSS コンプライアンス AWS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) (AWS ウェブサイト)
+ [AWSにおける PCI DSS バージョン 4.0](https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws-v4-102023.pdf) (コンプライアンスガイド)
**PCI DSS に関するリソース**
+ [PCI DSS バージョン 4.0 リソースハブ](https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub)
+ [PCI Security Standards Council ドキュメントライブラリ](https://www.pcisecuritystandards.org/document_library/)
+ [PCI DSS バージョン 3.2.1 から 4.0 への変更の概要](https://listings.pcisecuritystandards.org/documents/PCI-DSS-Summary-of-Changes-v3_2_1-to-v4_0.pdf)
## 追加情報
以下は、ユーザーがコンフォーマンスパックにアクセスして AWS Config 管理できるようにするサンプル AWS Identity and Access Management (IAM) ポリシーです。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:PutConfigRule",
"config:PutConformancePack",
"config:DeleteConfigRule",
"config:DeleteRemediationConfiguration",
"config:DeleteConformancePack",
"config:PutRemediationConfigurations",
"config:BatchGetAggregateResourceConfig",
"config:BatchGetResourceConfig",
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*"
],
"Resource": "*"
}
]
}
```
## アタッチメント
このドキュメントに関連する追加コンテンツにアクセスするには、次のファイルを解凍してください。「[attachment.zip](samples/p-attach/7f4b4311-2606-44e9-b9a2-8c2472643008/attachments/attachment.zip)」