AWS公式資料で挑むSCS認定(3)-対象サービス攻略

[前回] AWS公式資料で挑むSCS認定(2)-作戦を立てる

はじめに

今回から「試験対象のサービスと機能」の勉強に入ります。
試験ガイドにリストアップされているサービスを数えたら23個。
認定試験の質問例に出現した、Amazon Cognitoを入れると24個。

さー、どうする?
ここも「森から木へ」の作戦でいくか。
まず、サービス全般に対し、AWSユーザガイドの定義に目を通してみます。

試験対象のサービスと機能についてざっと一通り

ユーザガイドで機械翻訳により変な日本語になっている部分は、勝手に自分の理解で書き直しました。
(日本語下手くそな自分が言うのも変か。。。)

• AWS Audit Manager

  • ユーザガイド
  • 監査に必要なエビデンスの収集を自動化し、「ポリシー、手順、アクティビティ」などが効果的に機能しているか評価するための監査レポートを簡単に作成することで、リスク管理と法規制や業界標準へのコンプライアンス対応を簡素化できます。

• AWS CloudTrail

  • ユーザガイド
  • AWS アカウントのガバナンス、コンプライアンス、および運用とリスクの監査を行えるように支援する AWS のサービスです。ユーザー、ロール、または AWS のサービスによって実行されたアクションは、CloudTrail にイベントとして記録されます。イベントには、AWS Management Console、AWS Command Line Interface、および AWS SDK と API で実行されたアクションが含まれます。

• Amazon CloudWatch

  • ユーザガイド
  • Amazon Web Services (AWS) リソースと、AWS で実行されているアプリケーションをリアルタイムでモニタリングします。CloudWatch を使用してメトリクスを収集し、追跡できます。メトリクスとは、リソースやアプリケーションに関して測定できる変数です。

• AWS Config

  • ユーザガイド
  • AWS アカウントにある AWS リソースの設定詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。

• AWS Organizations

  • ユーザガイド
  • ユーザーが作成して一元管理する組織に、複数の AWS アカウント を統合するためのアカウント管理サービスです。AWS Organizations には、お客様のビジネスの予算、セキュリティ、コンプライアンスのニーズをより適切に満たすアカウント管理および一括請求 (コンソリデーティッドビリング) 機能が備わっています。

• AWS Systems Manager

  • ユーザガイド
  • AWS でインフラストラクチャを表示および制御するために使用できる AWS のサービスです。Systems Manager コンソールを使用すると、複数の AWS サービスからの運用データを表示させ AWS リソース全体の運用タスクを自動化できます。Systems Manager はマネージドノードをスキャンして検出されたポリシー違反を報告して (または是正措置を講じる)、セキュリティとコンプライアンスを維持することができます。

• AWS Trusted Advisor

  • ユーザガイド
  • AWS の数十万のお客様にサービスを提供することにより得られた運用実績に基づくベストプラクティスを活用しています。Trusted Advisor は、お客様の AWS 環境を検査し、システムの可用性とパフォーマンスを向上させる機会やセキュリティギャップを埋める機会がある場合には、レコメンデーションを作成します。

• AWS Firewall Manager

  • ユーザガイド
  • 複数のアカウントとリソースにわたる管理とメンテナンスのタスクを簡素化することで、「AWS WAF、AWS Shield Advanced、Amazon VPCセキュリティグループ、AWS Network Firewall、Amazon Route 53 Resolver DNS Firewall」などを保護します。 Firewall Managerによる保護を1回だけ設定すると、新しいアカウントとリソースを追加する場合でも、サービスによってはアカウントとリソース全体に保護が自動的に適用されます。

• AWS Network Firewall

  • ユーザガイド
  • ステートフルでマネージドのネットワークファイアウォールで、Amazon VPCで作成した仮想プライベートクラウド（VPC）向けの、侵入検出および防止サービスです。

• Amazon VPC(VPC エンドポイント、ネットワーク ACL、セキュリティグループ)

  • ユーザガイド
  • Amazon Virtual Private Cloud (Amazon VPC) を使用すると、AWS リソースを自分で定義した仮想ネットワーク内で起動できます。仮想ネットワークは、お客様自身のデータセンターで運用されていた従来のネットワークと比べ、スケーラブルなインフラストラクチャを使用できるというメリットがあります。

• AWS Security Hub

  • ユーザガイド
  • AWSのセキュリティ状態を包括的に表示し、セキュリティ業界の標準およびベストプラクティスに照らして環境をチェックするのに役立ちます。Security Hub は、AWSのアカウント、サービス、およびサポートされているサードパーティパートナー製品のセキュリティの傾向を分析し、最優先のセキュリティ上の問題を特定するのに役立ちます。

• AWS Shield

  • ユーザガイド
  • AWS には、DDoS 攻撃に対する保護のために AWS Shield Standard と AWS Shield Advanced が用意されています。AWS Shield Standard は追加料金なしで自動的に組み込まれます。AWS WAF やその他の AWS のサービスに対して支払う料金以外には必要ありません。AWS Shield Advancedは、DDoS 攻撃に対する保護を強化するため提供されたタイプで、DDoS 攻撃に対するリソースの拡張保護を提供します。

• AWS WAF

  • ユーザガイド
  • ウェブアプリケーションファイアウォールです。Amazon CloudFront ディストリビューション、Amazon API Gateway REST API、Application Load Balancer、または AWS AppSyncGraphQL API に転送される HTTP(S) リクエストをモニタリングします。

• Amazon Detective

  • ユーザガイド
  • セキュリティに関する検出結果や疑わしいアクティビティの根本原因を簡単に分析、調査、および迅速に特定できます。Detective は、AWS リソースからログデータを自動的に収集します。その後、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に行うのに役立つビジュアライゼーションを生成します。

• AWS Certificate Manager(ACM)

  • ユーザガイド
  • ウェブサイトやアプリケーションを保護するパブリックおよびプライベート SSL/TLS X.509 証明書およびキーの作成、保存、更新に伴うAWS複雑さに対処します。統合 AWS サービスの証明書は、ACM で直接発行するか、サードパーティーの証明書を ACM 管理システムにインポートすることで提供できます。

• AWS CloudHSM

  • ユーザガイド
  • AWS CloudHSM では、AWS クラウドにハードウェアセキュリティモジュールが搭載されています。ハードウェアセキュリティモジュール (HSM) は、暗号化オペレーションを処理し、暗号化キーの安全なストレージを提供するコンピューティングデバイスです。AWS CloudHSM から HSM を使用すると、さまざまな暗号化タスクを実行することができます。

• AWS Directory Service

  • ユーザガイド
  • Microsoft Active Directory (AD) を AWS の他のサービスと併用するための複数の方法を提供します。ディレクトリはユーザー、グループ、デバイスに関する情報を保存します。管理者は、これらのディレクトリを通じて情報やリソースへのアクセスを管理します。

• Amazon GuardDuty

  • ユーザガイド
  • 継続的なセキュリティモニタリングサービスで、「VPC フローログ、AWS CloudTrail管理イベントログ、CloudTrail S3 データイベントログ、DNS ログ」などのデータソースを分析して処理します。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードおよび機械学習を使用して、お客様の AWS 環境内での予期しない、および潜在的な未許可で悪意のあるアクティビティを識別します。

• AWS Identity and Access Management(IAM)

  • ユーザガイド
  • AWS リソースへのアクセスを安全に管理するためのウェブサービスです。IAM により、誰を認証 (サインイン) し、誰にリソースの使用を承認する (アクセス権限を持たせる) かを制御します。

• Amazon Inspector

  • ユーザガイド
  • AWSワークロードに対し継続的に脆弱性をスキャンする脆弱性管理サービスです。Amazon Inspector は、Amazon Elastic コンテナレジストリ（Amazon ECR）に存在する Amazon EC2 インスタンスとコンテナイメージを自動的にスキャンし、ソフトウェアの脆弱性および予期しないネットワークへの露出がないか検出・確認します。

• AWS Key Management Service(AWS KMS)

  • ユーザガイド
  • データの保護に使用される暗号化キーの作成と制御を容易にするマネージドサービスです。AWS KMS はハードウェアセキュリティモジュール (HSM) を使用して AWS KMS keys を保護し、FIPS 140-2 暗号化モジュール検証プログラムで検証します (中国 (北京) および中国 (寧夏) リージョンを除く)。

• Amazon Macie

  • ユーザガイド
  • データセキュリティとプライバシーを守るためのフルマネージドサービスで、機械学習とパターンマッチを用いて不正アクセスを検知、監視することで、機密情報を保護します。

• AWS Single Sign-On

  • ユーザガイド
  • クラウドベースのシングルサインオン (SSO) サービスであり、すべてのAWSアカウントおよびクラウドアプリケーションが含まれます。特に、AWS OrganizationsのすべてのAWSアカウントのアクセスとアクセス許可を管理するのに役立ちます。また、一般的に使用されているサードパーティー SaaS アプリケーションに対するアクセスとアクセス権限を管理するのにも便利です。

• Amazon Cognito

  • ユーザガイド
  • Amazon Cognito は、ウェブおよびモバイルアプリの認証、承認、およびユーザー管理機能を提供します。ユーザーは、ユーザー名とパスワードを使用して直接サインインするか、Facebook、Amazon、Google、Apple などのサードパーティーを通じてサインインできます。

以上で、サービス定義を一通り理解しました。サービス、多いー。

おわりに

サービスの定義を理解しただけなのに、そのすごさがひしひし伝わってきました。
こんなことまでやってくれるの?と。。
次回は、それぞれの目的・機能・位置づけを加味した上で、
勉強の優先順位をつけてから、本質を理解しようと思います。
お楽しみに。

[次回] [AWS公式資料で挑むSCS認定(4)-サービス勉強順] (https://qiita.com/mingchun_zhao/items/ba73f37e1d3b50facffc)