前回の内容
AWS認定クラウドプラクティショナー合格に向けて Day20
AWS責任共有モデル
セキュリティに対してAWSとユーザーで責任範囲を分けて対応している
AWSの責任範囲...データセンター、AWSインフラストラクチャなど
ユーザの責任範囲...利用するAWSサービス、アクセス権限、構築したアプリケーションなど
継承される統制
ユーザーがAWSから完全に継承する統制
物理統制と環境統制がある
共有統制
パッチ管理
AWSはインフラストラクチャのパッチ適用や修復に責任を負うが、ユーザーはOSやアプリケーションのパッチ適用に責任を負う
構成管理
AWSがインフラストラクチャデバイスの構成を保守するが、ユーザは独自のOS,DB,アプリケーションの構成に責任を負う
意識とトレーニング
AWSがAWS従業員のトレーニングを実施するが、ユーザーの従業員のトレーニングはユーザーが実施する
ユーザー固有の統制
AWSサービスにデプロイするアプリケーションに基づいて、ユザーがすべての責任を負う統制
IAM
AWS Identity and Access Managementの略
安全にAWSを使うための認証や許可の仕組み
IAMポリシー
アクセス権限を付与するための設定ドキュメント(JSON方式)
- Effect (許可or拒否)
- Action (対象のAWSサービス)
- Resource (リソース)
- Condition (アクセス制御の条件)
IAMユーザー
IAMポリシーで権限を付与されたユーザーのこと
- ルートアカウント(AWSアカウント作成時に作られるIDアカウント)
- 管理者権限(IAMユーザーの管理までできる)
- パワーユーザー(フルアクセス権限を有する)
IAMグループ
グループとして権限をまとめて設定された単位のこと
組織単位でAWSを利用する際に便利
IAMロール
AWSリソースに対してアクセス権限をロールできる
認証方式
利用するツールに応じて異なる
- アクセスキーID/シークレットアクセスキー
- X.509 Certificate
- マネジメントコンソールへのパスワード
- MFA(多要素認証)
アクティビティの記録
目的に応じて様々なアクティビティを管理する方法が用意されている
- IAMアクセスアナライザー
- アクセスアドバイザーのService Lact Accessed Data
- Credential report
- AWS Config
- AWS CloudTrail
To be continued...