# セキュリティ
AWS インフラストラクチャでシステムを構築すると、お客様と AWS の間でセキュリティ上の責任が分担されます。ホストオペレーティングシステムや仮想化レイヤーから、サービスが運用されている施設の物理的なセキュリティに至るまで、AWS がコンポーネントを運用、管理、および制御するため、この[共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)はお客様の運用上の負担を軽減するのに役立ちます。AWS でのセキュリティの詳細については、「[AWS クラウドセキュリティ](https://aws.amazon.com/security)」を参照してください。
## IAM ロール
AWS Identity and Access Management (IAM) ロールにより、AWS クラウドのサービスとユーザーに対してアクセスポリシーとアクセス許可を詳細に割り当てることができます。このソリューションでは、このソリューションで使用されているその他の AWS サービスへのアクセスを AWS Lambda 関数に付与する IAM ロールを作成します。
## Amazon Cognito
このソリューションで作成された Amazon Cognito ユーザーは、このソリューションの RestAPI にのみアクセスする権限を持つローカルユーザーです。このユーザーには、AWS アカウントの他のサービスにアクセスするアクセス許可はありません。詳細については、「*Amazon Cognito デベロッパーガイド*」の「[Amazon Cognito ユーザープール](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html)」を参照してください。
このソリューションでは、フェデレーション ID プロバイダーの設定と Amazon Cognito のホスト UI 機能による外部 SAML サインインをオプションでサポートします。
## Amazon CloudFront
このデフォルトソリューションは、Amazon S3 バケットで[ホストされた](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html)ウェブコンソールをデプロイします。レイテンシーの削減とセキュリティ向上のため、このソリューションにはオリジンアクセスアイデンティティを持つ [Amazon CloudFront](https://aws.amazon.com/cloudfront/) ディストリビューションが含まれます。これは、ソリューションのウェブサイトバケットコンテンツへのパブリックアクセスの提供を支援する特別な CloudFront ユーザーです。詳細については、「*Amazon CloudFront デベロッパーガイド*」の「[オリジンアクセス ID を使用して Amazon S3 コンテンツへのアクセスを制限する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)」を参照してください。
**プライベート**デプロイタイプがスタックのデプロイ時に選択された場合、CloudFront ディストリビューションはデプロイされないため、ウェブコンソールのホストには別のウェブホスティングサービスを使用する必要があります。
## AWS WAF - ウェブアプリケーションファイアウォール
スタックで選択されたデプロイタイプが [AWS WAF](https://aws.amazon.com/waf/) でパブリックの場合、CloudFormation は CMF ソリューションによって作成された CloudFront、API ゲートウェイ、および Cognito エンドポイントを保護するように設定された AWS WAF ウェブ ACL とルールをデプロイします。これらのエンドポイントは、指定されたソース IP アドレスのみがこれらのエンドポイントにアクセスできるように制限されます。スタックのデプロイ時には、2 つの CIDR 範囲を指定して、AWS WAF コンソールを経由したデプロイ後にルールを追加する必要があります。
**重要**
WAF IP 制限を設定する際は、CMF 自動化サーバーの IP アドレスまたは送信 NAT ゲートウェイ IP が、許可された CIDR 範囲に含まれていることを確認してください。これは、ソリューションの API エンドポイントにアクセスする必要がある CMF 自動化スクリプトが適切に機能するために重要です。
## Amazon API Gateway
このソリューションは Amazon API Gateway REST API をデプロイし、デフォルトの API エンドポイントと SSL 証明書を使用します。デフォルトの API エンドポイントは TLSv1 セキュリティポリシーをサポートしています。TLS\$11\$12 セキュリティポリシーを使用して、TLSv1.2 以降を独自のカスタムドメイン名とカスタム SSL 証明書で適用することをお勧めします。詳細については、「*Amazon API Gateway デベロッパーガイド*」の「[API Gateway におけるカスタムドメインの TLS の最小バージョンの選択](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html)」および「[カスタムドメインの設定](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html)」を参照してください。
## Amazon CloudWatch アラーム/Canary
Amazon CloudWatch アラームは、ソリューションの機能およびセキュリティ上の前提に従っていることをモニタリングするのに役立ちます。このソリューションには、AWS Lambda 関数と API Gateway エンドポイントのログ記録とメトリクスが含まれます。特定のユースケースに追加のモニタリングが必要な場合は、CloudWatch アラームを設定して以下をモニタリングできます。
+ **API Gateway のモニタリング:**
+ 4XX および 5XX エラーのアラームを設定して、不正アクセスの試みや API の問題を検出する
+ API Gateway のレイテンシーをモニタリングしてパフォーマンスを確保する
+ API リクエストの数を追跡して異常なパターンを特定する
+ **AWS Lambda 関数のモニタリング:**
+ Lambda 関数のエラーとタイムアウトのアラームを作成する
+ Lambda 関数の実行時間をモニタリングして最適なパフォーマンスを確保する
+ スロットリングを防ぐために同時実行のアラームを設定する
これらのアラームは、CloudWatch コンソールまたは AWS CloudFormation テンプレートを使用して作成できます。CloudWatch アラームを作成する詳細な手順については、「*Amazon CloudWatch ユーザーガイド*」の「[Amazon CloudWatch アラームの作成](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)」を参照してください。
## カスタマーマネージド AWS KMS キー
このソリューションは、データの保護に保管時の暗号化を使用し、顧客データには AWS マネージドキーを使用します。これらのキーは、ストレージレイヤーに書き込まれる前に、データを自動的かつ透過的に暗号化するために使用されます。一部のユーザーは、データ暗号化プロセスをより細かく制御したいと考えるかもしれません。このアプローチにより、独自のセキュリティ認証情報を自身で管理できるため、より高いレベルの制御と可視性が得られます。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[基本概念](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html)」および「[AWS KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)」を参照してください。
## ログの保持
このソリューションは、アカウントに Amazon CloudWatch logs グループを作成することで、アプリケーションおよびサービスログをキャプチャします。デフォルトでは、ログは 10 年間保持されます。LogRetentionPeriod パラメータは、ロググループごとに調整できます。保持期間を無期限に設定したり、要件に応じて 1 日から 10 年の保持期間を選択できます。詳細については、「*Amazon CloudWatch Logs ユーザーガイド*」の「[Amazon CloudWatch Logs とは?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html#cloudwatch-logs-features)」を参照してください。
## Amazon Bedrock
このソリューションは、CloudFormation スタックのデプロイ中に、リージョンに最適な基盤モデルを自動的に選択します。選択プロセスでは、`list_foundation_models()` を呼び出す Lambda 関数を使用して、以下の優先順位から使用可能な最初のモデルを選択します。
1. `anthropic.claude-sonnet-4-20250514-v1:0` (Sonnet 4)
1. `anthropic.claude-3-7-sonnet-20250219-v1:0` (Sonnet 3.7)
1. `anthropic.claude-3-5-sonnet-20241022-v2:0` (Sonnet 3.5v2)
1. `anthropic.claude-3-5-sonnet-20240620-v1:0` (Sonnet 3.5)
1. `anthropic.claude-3-sonnet-20240229-v1:0` (Sonnet 3)
1. `amazon.nova-pro-v1:0` (Nova Pro)
生成 AI 機能を使用するには、Bedrock コンソールを使用して AWS アカウントで選択したモデルを有効にする必要があります。生成 AI 機能を有効にしなくても、このソリューションのコア機能は完全に動作します。顧客は、AI アシスト機能を使用しない場合、手動入力でツールを使用することも選択できます。
デプロイ後、選択したモデルの ARN は、CloudFormation スタック出力の WPMStack の `GenAISelectedModelArn` フィールドにあります。
![\[選択された GenAI モデルの ARN を示す CloudFormation スタック出力\]](http://docs.aws.amazon.com/ja_jp/solutions/latest/cloud-migration-factory-on-aws/images/cloudformation-genai-model-output.png)
![\[Amazon Bedrock モデル有効化インターフェイス\]](http://docs.aws.amazon.com/ja_jp/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-model-enablement.png)
このソリューションのデフォルト設定では、次の目的で Amazon Bedrock ガードレールをデプロイします。
+ 有害なコンテンツをフィルタリングする
+ ユースケースに関係のないプロンプトインジェクションをブロックする
![\[Amazon Bedrock ガードレール設定インターフェイス\]](http://docs.aws.amazon.com/ja_jp/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-guardrails.png)
詳細については、「[Amazon Bedrock ガードレール](https://aws.amazon.com/bedrock/guardrails/)」を参照してください。CMF ソリューションでガードレールをオプトアウトするには、テンプレートパラメータセクションで false を選択します。