はじめに
AWS DOPの試験対策でExam Readiness: AWS Certified DevOps Engineer – Professional (Japanese)を視聴したので、内容をまとめます。
アジェンダ
| 分野 | 内容 |
|---|---|
| 1 | SDLC の自動化 |
| 2 | 設定管理とIaC |
| 3 | モニタリングとロギング |
| 4 | ポリシーと標準の自動化 |
| 5 | インシデントとイベントレスポンス |
| 6 | 高可用性、対障害性、災害復旧 |
インフラストラクチャの保護
IAM
暗号化
ELBのSSLターミネーション
- IAMに保存されている証明書
- ELB層のオフロード作業
- ロードバランサごとのに複数のSSL証明書
CloudFrontのSSLターミネーション
- Server Name Indication
- 複数のIPに様々なドメイン証明書の終了を許可
- DNSレコードがELBまたはCloudFrontを指定
セキュリティグループ、NACL、ファイアウォールのホスト
データ保管時の保護
- S3サーバ側暗号化
- EBSはサーバ側またはホスト
- Glacierはデフォルトで暗号化
- EFSはKMSからのみ暗号化をサポート
Amazon GuardDuty
- AWSアカウントトワークロードを監視
- 脅威IPリストと信頼IPリストを追加可能
- 複数のデータソースを分析(CloudTrail、VPCフローログ、DNSログ)
Amazon Inspector
- アプリケーションのセキュリティとコンプライアンスの向上を評価
- エージェントをインストールする
- 脆弱性の検出、ベストプラクティスの検証、レポートの生成
AWS Systems Manager
- エージェントを使用しクラウド内およびオンプレミスのシステムを管理
- 管理タスクを自動化
- ランコマンドで事前に定義したスクリプトやコマンドを実行
- パッチマネージャはシステムの処理と更新をサポート。
- いつ適用するかをメンテナンスウィンドウで設定。
- 認証情報などの安全なストレージはパラメータストア機能。
- AWS Secret ManagerはKMSにより暗号化、認証情報の自動ローテーションをサポート。料金以外は上位互換といえる。
- AWS License Managerはライセンス用のストレージを管理、使用状況の追跡をサポート。
AWS Config
リソースの設定変更を追跡、定義されたポリシーに対して評価。
コスト最適化
AWS Trusted Advisor
- コスト削減、パフォーマンス向上、セキュリティ強化に役立つガイダンスを提供
ガバナンスとコンプライアンス
AWS Service Catalog
- 承認されたITサービスのカタログを作成、管理。
- 基盤となるAWSサービスへのアクセスを制御
EC2インスタンスのコンプライアンス
- AMIでGoldenベースイメージを作成
- ユーザーデータスクリプトを起動時に設定
- AWS OpsWorks等でアプリケーションレベルの設定を管理
問題例
- 転送中と補完中のデータを暗号化。サービスはELB、EC2、EBS、S3
-> SSL通信をEC2でターミネーション。またはELBでターミネーションとEC2のSSLリスナー。EBSの暗号化またがOSレベルでのディスク暗号化。 S3のサーバ側暗号化。 - AWSアカウント管理者が退職。ルートユーザ、管理者のIAMユーザ、他のIAMユーザおよびキー
-> パスワードを変更し、ルートユーザにMFAを追加。管理者のIAMユーザを削除。キーを交換し、IAMユーザのパスワードを変更。 - インスタンスのパッチ適用を自動化。インスタンスのリストが必要。スケールアウトに対応
-> AWS Systems Manager Patch Managerを使用。メンテナンスウィンドウを設定。 - AMIを構築できるCIパイプラインを作成
-> AWS Systems Manager Automationドキュメントを作成。AMIを作成。コードの変更があるたびにJenkinsで自動実行。