[前回] AWS公式資料で挑むSCS認定(39)-こんな時どうする(全分野その16)
はじめに
SCS認定にめでたく合格した同僚からの体験談共有です、ありがたい。
AWS Certified Security - Specialty合格しました!
今回も引き続き、「こんな時どうする」集の作成です。
分野1: インシデント対応
- 不正アクセスの疑いがある操作が報告された、過去同じ操作が行われていないか調査したい
- 過去90日間のイベント履歴調査
- CloudTrailコンソールのイベント履歴から、問題操作のAPIコールを確認
- 過去90日間より前のイベント履歴調査
- CloudTrailの証跡を作成し、収集イベントをS3バケットへ配信する必要あり
- 過去90日間のイベント履歴調査
分野2: ログとモニタリング(監視)
- EC2インスタンスのセキュリティグループが不意に変更されていないか監視したい
- Amazon EventBridgeとAmazon Simple Notification Service(Amazon SNS)を使用
- Amazon SNSで、セキュリティグループ変更関連ルールに一致するイベントについて通知設定
- トピックを作成
- トピックARNを指定し、サブスクリプションを作成
- セキュリティグループ変更に必要なAPIコールをトリガーとするEventBridgeルールを作成
- ルールを作成し、イベントタイプで「CloudTrail経由のAWS APIコール」を選択
- 特定オペレーションに、セキュリティグループルールを追加/削除する下記APIコールを指定
- AuthorizeSecurityGroupIngress
- AuthorizeSecurityGroupEgress
- RevokeSecurityGroupIngress
- RevokeSecurityGroupEgress
- ターゲットとして、SNSトピックを選択
- Amazon SNSで、セキュリティグループ変更関連ルールに一致するイベントについて通知設定
- Amazon EventBridgeとAmazon Simple Notification Service(Amazon SNS)を使用
分野3: インフラストラクチャのセキュリティ
- ストレージ料金削減のためS3バケットデータを定期的に削除したい
- オブジェクトの現行バージョンを失効させ、オブジェクトの以前のバージョンを完全に削除するライフサイクル設定ルールを作成
- S3は毎日1回ライフサイクルルールを実行、S3が初めてルールを実行すると、有効期限切れに該当するすべてのオブジェクトに削除マーカーが付けられる
- 削除対象としてマークされたオブジェクトに対する料金は請求されなくなる
- ただし、ルールが実行されてバケットが空になるまで数日かかる場合あり
- オブジェクトバージョンを失効させることと、削除マーカーをクリーンアップすることが非同期ステップであるため
分野4: アイデンティティ(ID)及びアクセス管理
- 別のAWSアカウントによりアップロードされたS3バケットオブジェクトにアクセスできない
- デフォルトのオブジェクト所有権が設定された既存S3バケットの場合、オブジェクト所有者はオブジェクトをバケットにアップロードしたAWSアカウントとなる
-
オブジェクト所有者が、オブジェクトにアクセス許可を明確に付与しないと、バケット所有者はオブジェクトにアクセスできなくなる
-
- 解決策として、
S3 Object Ownershipsを使用することで、バケット所有者は自分のバケットにアップロードされたオブジェクトの所有権を管理できるようになる- デフォルトで、新しく作成されたすべてのS3バケットでは、
bucket owner enforced設定が有効になる -
bucket owner enforcedが有効になっている場合- バケット所有者はバケット内のすべてのオブジェクトのオブジェクト所有者になる
- バケットとそのオブジェクトのACLはすべて無効になる
-
bucket owner enforced設定またはbucket owner preferred設定を有効にすることで、既存のバケットにS3 Object Ownershipを設定することもできる-
bucket owner preferred設定が有効になっても、ACLは引き続き有効
-
-
bucket-owner-full-controlACLを使用し、バケットにアップロードされたオブジェクトだけが、バケット所有者によって所有される -
bucket owner enforced設定が有効になっている既存のバケットで、bucket owner enforced設定を無効にすると、以前適用されていたバケットとオブジェクトACLが再度有効になる
- デフォルトで、新しく作成されたすべてのS3バケットでは、
- デフォルトのオブジェクト所有権が設定された既存S3バケットの場合、オブジェクト所有者はオブジェクトをバケットにアップロードしたAWSアカウントとなる
分野5: データ保護
- AWS KMSキーにインポートされたキーマテリアルが誤って削除されたので復旧したい
- 最初にKMSキーにインポートされたものと同じキーマテリアルを再インポートする必要あり
- キーマテリアルの再インポート方法は、以下を除いては最初のキーマテリアルインポートと同じ手順
- 新しいKMSキーを作成する代わりに、既存のKMSキーを使用
- KMSキーにキーマテリアルが含まれている場合、キーマテリアルを再インポートする前に、既存のキーマテリアルを削除
- KMSキーにキーマテリアルをインポートするたびに、KMSキーの新しいラップキーおよびインポートトークンをダウンロードして使用する必要あり
- ラップ手順は、キーマテリアルの内容には影響しない、異なるラップキー(および異なるインポートトークン)を使用し同じキーマテリアルをインポート可能
おわりに
「こんな時どうする」の追記でした。
次回も続きます、お楽しみに。