Pages

Pages

Jan 12, 2010

Amazon AWSの約款には結構エグイことが書いてある


EC2を使い始めてはや半年以上が経過した。セキュリティの調査目的、つまりは自分のパソコンではやりたくない作業に使おうと思って契約したのだが、あらためて約款を読んでみると、IDSを動かすのも微妙なのではないかという位にその用途を縛っていることがわかった。


「え?約款て何??」という方も多いと思うが、EC2やS3をはじめとするAmazon AWSを使っている人は例外なく加入時に約款(ユーザーアグリーメント)を承諾しているんです。


これがその実物。http://aws.amazon.com/agreement/


f:id:kkomiyama:20100113003547p:image



こんな長い約款を読んでいる人なんていないと思うので注意すべき点を書いておく。僕もあまり真面目に読んでないので、このエントリーをみて引っかかった人は是非原文をあたって下さい。



AWSでのご法度/禁則事項


お金を払わないと強制退会になるのは当然として、AWSを使ったDoS攻撃なども全て禁止、即利用停止の対象である。



3.4.1. (i) ユーザがDoSを行った (ii) Amazonに対する攻撃、セキュリティ脆弱性探し、他のユーザの不利益になることを行った (iii) サービスの提供を妨害する行為を行った (iv) 支払いが滞った場合や利用料金が不自然に増加した場合 (v) Amazonによりユーザのアカウントが乗っ取られている、あるいはユーザが何らかの詐欺の被害者になっていると判断された場合 (vi) AWS コンテンツ (セクション 6.1) やマーク (セクション 6.2) を使用許諾に反して利用した場合 (vii) AWSをイリーガルな活動に使用した、あるいは他者の権利を侵害した場合 (viii) 分からん or (ix) ユーザが破産した場合




3.4.2. クレジットカードの引き落としが出来なかった場合などの通知がAmazonから行われて15日以内に返信しなかった場合。



15日以内というのは結構厳しい。AWSからのメールはわかりやすく振り分けないといけない。


稼働するアプリとその通信には責任をもって


EC2などで稼働するアプリにはユーザが全ての責任を負うことが繰り返し強調されている。


アプリケーションの検閲

そしてAmazonが必要と判断した場合にはアプリケーションの実態をコピーして提出しないと行けない。



4.4.1. オンラインアプリ(Webアプリと同義とおもわれる), Amazonが不正利用取り締まりのために、定期的にアプリケーションの稼働状況をクロールし、監視することに同意する。




4.4.2. クライアントサイドアプリ, Amazonが不正利用取り締まりのために必要と判断した場合、ユーザはアプリケーションのファイルをコピーしてAmazonに提供することに同意する。



提出を求められる条件はAmazon側が広めに解釈できるように書かれている。クライアントアプリのバイナリのコピーを渡すとかありえないと思うんだが。


EC2からのポートスキャンは禁止、オープンプロキシも禁止

いくつかの用途は約款で禁止が明確にうたわれている。具体的には以下のとおりである。



5.4.5. Network. 以下のような通信は禁止


プルーブや脆弱性のためのポートスキャン(原文にport scans for vulnerabilitiesてある。意味わからんね)


許可を得ていないペネトレーションテスト、通信、その他アクセス権のないシステムにログインしようとする行為


クロールされる側のサーバに負荷をかけるような、レートコントロールされていない、過剰なWebクロール


許可を得ていないネットワークモニタリングとパケットキャプチャ


ソースアドレススプーフなどプロトコルヘッダーの改ざんやnon-standard protocol headerの使用


フラッディング(L2の話か?)


あらゆる種類のDoS攻撃



そして、以下のネットワークサービスの稼働は認められていない



オープンプロキシー


オープンリレーサーバ


公開再帰DNSサーバ



実際には数カ月前からオープンプロキシを動かしていても、時々ポートスキャンしても何も言われないので、目立たなければ寛大なAmazon様がお目こぼししてくださるということと思われる。


が、原則禁止と約款に書かれていることの意味は大きい。



SPAM送信禁止


AWSを使ってSPAM送信することは禁止である。これも約款の中で繰り返し強調されている。



サービスの目的の制限


以下のようなサイトはAWSでホストすることが許されていない。



5.4.6. Services and Applications. 以下のようなサービスを提供することはできない。


ギャンブル関連全般


児童ポルノを含む全ての違法行為を助長するもの


特定の性や信仰、国籍、障害、性的志向、年齢などを避難するもの


フィッシング/ファーミングサイト


マルウエアやウイルスはじめあらゆる種類の有害プログラムを掲載しているサイト


第三者の権利を侵害するコンテンツ



逆に言えばAWSで稼働する、上記の目的のサイトを発見したらAmazonに報告したら高確率で止めてくれるということなんだろう。(と、ちょっと仕事のことも考えてみる。)


同人サイトなんかはAWSを使わない方が良さそうだ。



類似ドメイン名の使用禁止



6.2. Restrictions with Respect to Use of Marks. “amazon.mydomain.com”, “amaozn.com” or “amazonauctions.net” などのユーザがAmazon公式と勘違いする可能性のあるドメインネームを取得し、AWSで利用することは禁止。



確かにAWSのネットワーク内に“amazonauctions.net”が稼働していたら本家Amazonと勘違いしてしまうので理解はできるが、“amazon.mydomain.com”などサブドメインにいれることまで禁止するのはどうなのよ?


自分の身は自分で守れ


特にEC2ではAMI(イメージ)が最初から細工されている危険性が常にあるが、これについてAmazonは「検査はユーザの責任」と謳っている。



11.6.6. AMI(EC2でのOSディスクイメージ)はAmazonの検査やスクリーニングを受けていないことを了承する



AMIの安全確認は自己責任で。



補償は一方的に


この約款によると、メンテナンスや障害などでAWSのサービス提供が中断することをユーザは無条件に了承している。そしてそれに対するAmazonからの補償などは存在しない。



7.1. ダウンタイムとサービス停止. (i) サービスのアクセスが停電などにより一時的に出来なくなることがある (ii)以下の3つのいずれかの場合にも通告なくサービスが停止する (a) サービスメンテナンスのためのスケジュールダウンタイム (b) サービスが外部からの攻撃を受けた場合や、Amazon内から外部への攻撃が行われサービス停止しないと第三者への攻撃を遮断できない場合 もしくは (c) いずれかのサービスが不適切・反社会的とAmazonが判断した場合。ただしこれらによって引き起こされるいかなる被害についてもAmazonは補償の責任を負わない。



一方でユーザの過失でAmazonのサービスに悪影響を与えた場合、これをユーザが賠償することになっている。



12.1. 全般. 以下の場合についてユーザがAWSを使用した結果として発生した被害について賠償をすることを了承する (i) 本約款や関連法規に抵触する用途でAWSを用いたとき など



怖いですね。



まとめ


クラウドサービスの利用は今後も増えていくだろうし、増えて欲しいとも思っている。一方でクラウドサービスの場合、データもアプリケーションも丸ごと誰かに預けることが多い。あらゆるものが雲の中に置かれ、その責任や権利も曖昧になりがちである。


だからこそ(Amazonに限らずクラウドサービスプロバイダーと契約するときには)約款をよく読んで、彼らに裏切られた時の最悪の事態を想定しておくことが大切だと思う。他でもないあなた自身が承認したAWSの約款では、Amazonに大きな権利を認めているのだから。





続きを読むをクリックすると、約款の他の部分も適当に日本語に訳したものが出てきます。



1. サービス


1.2. 有料サービス


ここで定義されているAmazon AWSの有料サービスとは下記の通り


Amazon Simple Storage Service (Amazon S3)


Amazon CloudFront


Amazon Simple Queue Service (Amazon SQS)


Amazon Elastic Compute Cloud (Amazon EC2)


Alexa® Web Information Service (AWIS)


Alexa® Web Search


Alexa® Top Sites


Amazon Flexible Payments Service (Amazon FPS)


Amazon DevPay Service (Amazon DevPay)


Amazon SimpleDB Service (Amazon SimpleDB)


Amazon Elastic MapReduce


Amazon Virtual Private Cloud (Amazon VPC)


Amazon Multi-Factor Authentication (Amazon MFA)


Amazon Relational Database Service (Amazon RDS)


Amazon Web Services Premium Support (AWS Premium Support)


If you use Amazon FPS, you may incur fees for transactions that you submit through the Payment Service provided by Amazon Payments, which is described in Section 5.6 below. We may, in our sole discretion, (i) begin charging fees for a Free Service, in which case such Service will thereafter be deemed a Paid Service, or (ii) cease charging fees for a Paid Service, in which case such Service will thereafter be deemed a Free Service.


2. 本約款への変更があった場合


最新のユーザアグリーメントや約款はこのURLに掲載される。 http://developer.amazonwebservices.com/connect/index.jspa.


無料サービスを含む一部のサービスの変更はここに掲載された瞬間から有効となる。既存の有料サービスに関わる約款の変更などが会った場合、1)掲載の15日後 もしくは 2)Webでクリックして承諾を求める画面でユーザが承諾すると有効となる。


3. 解約と利用停止について


3.3. Amazonがユーザを強制解約させる場合について


3.3.1. 無料サービスの場合. セクション15に書かれている手続きをとるものの、基本的に即利用停止


3.3.2. (Amazon FPS と Amazon DevPay以外の)有料サービスの場合. Amazon側に何らかの事情がある場合、60日前にユーザに通知れば強制退会させることが可能。


3.3.3. Amazon FPS と Amazon DevPay. 即利用停止


3.4. 訳あり退会. 以下に書かれているような条件に当てはまった場合、即退会させられる


3.4.1. (i) ユーザがDoSを行った (ii) Amazonに対する攻撃、セキュリティ脆弱性探し、他のユーザの不利益になることを行った (iii) サービスの提供を妨害する行為を行った (iv) 支払いが滞った場合や利用料金が不自然に増加した場合 (v) Amazonによりユーザのアカウントが乗っ取られている、あるいはユーザが何らかの詐欺の被害者になっていると判断された場合 (vi) AWS コンテンツ (セクション 6.1) やマーク (セクション 6.2) を使用許諾に反して利用した場合 (vii) AWSをイリーガルな活動に使用した、あるいは他者の権利を侵害した場合 (viii) 分からん or (ix) ユーザが破産した場合


3.4.2. クレジットカードの引き落としが出来なかった場合などの通知がAmazonから行われて15日以内に返信しなかった場合。


3.4.3. AmazonからAWSの利用について修正を求められ5日以内に対応が行われなかった場合。


3.5. 一時停止処分と退会処分時の課金扱い.


3.5.1. 一時停止処分. 一時停止処分中も全ての利用料金は使えているものとして課金される。


3.5.2. 退会処分. 同上。


3.6. Survival. In the event this Agreement is terminated for any reason, Sections 3.5, 3.6, 3.7, 3.8, 4.2, 6, 8 (with respect to payments that are accrued but unpaid at the time of termination), and 9 through 16 will survive any such termination.


3.7. 一時停止処分と退会処分時のデータ保存. 3.4.1に該当する場合はAmazonはS3やSimpleDB含めデータ保持の義務を負わない。 3.4.1に該当しない一時停止/退会の場合データの削除などは行わない。


3.8. 退会後のサポート. 退会後も問い合わせなどは受け付けるが、退会後のサポートについてAmazonは義務を負わない。


4. サービス利用のライセンス


4.1. Permitted Uses Generally.


4.1.1. APIの仕様変更は通告なしに行われることがある。回数制限などの制限が行われることがある。


4.3. アカウントと鍵. 原則として1メールアドレスに1アカウント作成できる。 (AWS アカウントの仕組みについて若干説明のあと)プライベート鍵を第三者に提供することは禁止。第三者の手に渡ったと思われる場合には直ちにAmazonに報告を行う。(住所などの)アカウント情報は常に最新のものを記入する。アカウントが第三者の手に渡り、ユーザのデータの破壊や流出、改ざんが発生した場合、その責任はユーザにある。


4.4. AWS使用状況の確認 AWS上で稼働するアプリケーションについてAmazonからその詳細について情報提供を求められた場合、速やかに回答を行う。


4.4.1. オンラインアプリ(Webアプリと同義とおもわれる), Amazonが不正利用取り締まりのために、定期的にアプリケーションの稼働状況をクロールし、監視することに同意する。


4.4.2. クライアントサイドアプリ, Amazonが不正利用取り締まりのために必要と判断した場合、ユーザはアプリケーションのファイルをコピーしてAmazonに提供することに同意する。


5. 個別サービス毎の約款


AWS全体ではなく個別サービス毎に以下に定める条件に同意する。


5.1. Amazon Simple Storage Service (Amazon S3)


5.1.1. S3に保存してよいのはユーザが権利を所有しているファイルのみである。S3上に保存されたファイルについて、一切の責任はユーザにある。AmazonはユーザのS3利用状況を監視することが可能である。政府や規制機関、裁判所からの命令があった場合や、召喚状・その他法的に利用される場合などには、コンテンツの内容を関連機関に共有することが可能である。


5.1.2. (1ファイルの最大サイズは5GB? 大事そうなことが書いてあるけどよくわからん)


5.2. Amazon CloudFront


5.2.2. AmazonはユーザのCloudFront利用状況を監視することが可能である。政府や規制機関、裁判所からの命令があった場合や、召喚状・その他法的に利用される場合などには、コンテンツの内容を関連機関に共有することが可能である。


5.3. Amazon Simple Queue Service (Amazon SQS)


5.3.1. (S3とほぼ同じ)


5.4. Amazon Elastic Compute Cloud (Amazon EC2)


5.4.3. インスタンスで稼働するアプリケーションなどについての責任は全てユーザにある。またユーザはパスワードなどの管理を自ら行う義務がある。


5.4.4. Email. SPAM送信は禁止。特にPyramid schemesやチエーンレターは禁止。CAN SPAM Act of 2003 (米国の法律)それに類する州法に抵触する全てのメール送信禁止。メールヘッダーの偽装も禁止。


5.4.5. Network. 以下のような通信は禁止


プルーブや脆弱性のためのポートスキャン(原文にport scans for vulnerabilitiesてある。意味わからんね)


許可を得ていないペネトレーションテスト、通信、その他アクセス権のないシステムにログインしようとする行為


クロールされる側のサーバに負荷をかけるような、レートコントロールされていない、過剰なWebクロール


許可を得ていないネットワークモニタリングとパケットキャプチャ


ソースアドレススプーフなどプロトコルヘッダーの改ざんやnon-standard protocol headerの使用


フラッディング(L2の話か?)


あらゆる種類のDoS攻撃


以下のネットワークサービスの稼働は認められていない


オープンプロキシー


オープンリレーサーバ


後悔再帰DNSサーバ



5.4.6. Services and Applications. 以下のようなサービスを提供することはできない。


ギャンブル関連全般


児童ポルノを含む全ての違法行為を助長するもの


特定の性や信仰、国籍、障害、性的志向、年齢などを避難するもの


フィッシング/ファーミングサイト


マルウエアやウイルスはじめあらゆる種類の有害プログラムを掲載しているサイト


第三者の権利を侵害するコンテンツ


5.4.7. Using Microsoft Software. (AWSでMSの有料ソフトを使う場合などは、その契約はあくまでAWS内での使用契約であり、それ以外に効力が及ばないことをいいたいのだと思われる)


5.4.8. Using IBM and Novell Software. 同上


5.5. Alexa® Web Services


5.5.2. Alexaのデータをキャッシュ出来るのは最長24時間


5.6. Amazon Flexible Payments Service (Amazon FPS)


5.6.1. (使っていないので省略)


5.7. Amazon DevPay Service (Amazon DevPay)


5.7.1. (使っていないので省略)


5.8. Amazon SimpleDB Service (Amazon SimpleDB)


5.8.2. 6ヶ月SimpleDBの支払いが滞り、かつ利用した形跡が見られない場合、Amazonは30日前にユーザに通告の上、データを削除することが可能である。


5.9. Amazon Fulfillment Web Service (Amazon FWS)


5.9.1. (使っていないので省略)


5.10. Amazon Elastic MapReduce


5.10.1 (使っていないので省略)


5.11. Amazon CloudWatch and Auto Scaling


5.11.4 Amazon CloudWatch で収集されたEC2インスタンスのCPU使用率、データ転送量、ディスク使用量はAmazonに共有される。


5.12. Elastic Load Balancing


5.12.1 (使っていないので省略)


5.13. AWS Import/Export


5.13.1 データの入ったメディアをAmazonに送付すると、データをAWSネットワークにアップロードしてくれるサービスについての細かいきめ毎が書かれている。送料はユーザが負担するなど。


5.14. Amazon Virtual Private Cloud (Amazon VPC)


5.14.1 ゲートウェイなどを含めて管理の責任はユーザにある


5.15. AWS Multi-Factor Authentication (AWS MFA)


5.15.1 (省略)


5.16. Amazon Relational Database Service (Amazon RDS)


5.16.1 (省略)


5.17. Consolidated Billing.


5.17.1 複数AWSアカウントをリンクさせ、まとめ払いする方法がある。


5.18. Amazon Web Services Premium Support (AWS Premium Support)


5.18.1 Premium Supportは対応サービスのユーザについてのみ行われる


6. ラインセンスとAmazonの商標利用について


6.1. Amazon Properties. AWSに関する文章を引用する場合、不要部分の削除のみが許され、文章の変更などはしてはいけない。


6.2. Restrictions with Respect to Use of Marks. “amazon.mydomain.com”, “amaozn.com” or “amazonauctions.net” などのユーザがAmazon公式と勘違いする可能性のあるドメインネームを取得し、AWSで利用することは禁止。


7. ダウンタイムとサービス停止、セキュリティ対策について


7.1. ダウンタイムとサービス停止. (i) サービスのアクセスが停電などにより一時的に出来なくなることがある (ii)以下の3つのいずれかの場合にも通告なくサービスが停止する (a) サービスメンテナンスのためのスケジュールダウンタイム (b) サービスが外部からの攻撃を受けた場合や、Amazon内から外部への攻撃が行われサービス停止しないと第三者への攻撃を遮断できない場合 もしくは (c) いずれかのサービスが不適切・反社会的とAmazonが判断した場合。ただしこれらによって引き起こされるいかなる被害についてもAmazonは補償の責任を負わない。


7.2. セキュリティ. Amazonはセキュリティについてユーザに以下をもとめる (a) 外部からの不正アクセスに備えたデータの暗号化 (b) 定期的なバックアップ (c) 最新のセキュリティ更新プログラムを適用する.


8. 料金


8.1. サービス料金. サービスの値上げ、あるいは無料サービスの有償化を行う際には、30日前に変更の内容をユーザに通知する。


9. データの機密性


9.1. Use and Disclosure.


(9章全体でAmazonが機密と定めるものを公開しないことを求めているが、具体的に何を想定しているのか想像がつかない)


10. 知的財産権


10.1. Our Services and the Amazon Properties. AmazonのものはAmazonのもの


10.2. Your Applications, Data and Content.  Amazon S3 や Amazon SimpleDBに保存されるデータやアプリケーションはユーザが全ての権利を所有する。


11. Representations and Warranties; Disclaimers; Limitations of Liability


11.1. Use of the Services. ユーザはAWSを下記の用途に使用しないことを保証する。 (i) 第三者の権利を侵害する用途にサービスを用いない (ii) CAN SPAM Act of 2003という法律に抵触するようなスパムメール、広告メールを送信しない (iii) 輸出規制に抵触しない (iv) 不法行為を行わない。


11.2. Applications and Content. ユーザは以下を保証する。 (i) アプリケーションやコンテンツについて全ての責を負うこと (ii) アプリケーションやコンテンツについて全ての権利を所有すること (iii) アプリケーションやコンテンツが (a) 第三者の権利を侵害しないこと (b) その他もろもろ


11.4. Authorization and Account Information. 個人でサービスを利用する場合には申込者が18歳以上であることが条件である。


11.6. Your Applications are Your Responsibility. In addition to the foregoing, we specifically disclaim all liability, and you shall be solely responsible for the development, operation, and maintenance of your Application (including any Bundled Application) and for all materials that appear on or within your Application and you agree that you shall, without limitation, be solely responsible for:


11.6.4. 使用するアプリケーションがどのような個人情報を収集するかなどの情報について適切に情報公開すること


11.6.6. AMI(EC2でのOSディスクイメージ)はAmazonの検査やスクリーニングを受けていないことを了承する


12. 補償/賠償


12.1. 全般. 以下の場合についてユーザがAWSを使用した結果として発生した被害について賠償をすることを了承する (i) 本約款や関連法規に抵触する用途でAWSを用いたとき など


13. 合衆国政府ライセンス契約と輸出輸入規制


13.1. 合衆国政府ライセンス契約. 米国政府がAWSを利用する場合には特別のルールが適用される


14. 紛争/争議


15. ユーザへの連絡


15.2. アマゾンにコンタクトしたい場合 


aws@amazon.com


Amazon Web Services LLC 
1200 12th Avenue South 
Seattle, WA 98144-2734


15.3. 言語. Amazonとのやりとりは英語で行う


16. その他