はじめに
AWS CLF (AWS Certified Cloud Practitioner) を取得した際の学習記録をアウトプットとして以下に記す。
リンク
ネットワーク
セキュリティ
コンピューティング
コンテナ
スケーリング
ストレージ
データベース
メッセージ
モニタリング
デプロイ
コストとサポート
移行とイノーベーション
AWS用語集
セキュリティ
責任共有モデル
- リソースの安全性を確保する責任はAWSとお客様の両方にある。(責任共有モデル)
- それぞれの担当は以下
- AWS - クラウドのセキュリティ
- お客様 - クラウド内のセキュリティ
詳しい責任分界点は以下。
AWS IAM (Identity and Access Management)
- AWSサービスやリソースアクセスの管理をする
- 構成要素
- ルートユーザ
- IAMユーザ
- IAMポリシー
- IAMグループ
- IAMロール
- IDフェデレーション
- 外部の認証サーバーを利用して、サインイン (ログイン) する技術
- フェデレーションと AWS Identity and Access Management (IAM) を使用して、AWSアカウントへのシングルサインオン(SSO)を有効にすることができる
- 多要素認証(MFA)
ルートユーザー
- アカウントにおける全てのAWSサービスとリソースにアクセスできる
- ベストプラクティス
- 日常のタスクにルートユーザーを使用しないようにする
- 日常のタスクにルートユーザーを使用しないようにする
IAMユーザー
- お客様が AWS 内に作成する ID で、AWS のサービスやリソースを操作するユーザーやアプリケーション
- デフォルトではアクセス許可は何も関連づけられないため、必要なアクセス許可を付与すること
- ベストプラクティス
- AWS にアクセスする必要があるユーザーごとに、個別の IAM ユーザーを作成する
IAMポリシー
- AWS のサービスとリソースへのアクセスを許可または拒否するドキュメント
- IAMユーザー、グループ、ロールに適用
- ベストプラクティス
- アクセス許可を付与するときは、最小権限というセキュリティの原則に従う
IAMグループ
- IAMユーザーの集合
- グループ内のすべてのユーザーに、ポリシーで指定されたアクセス許可が付与される
IAMロール
- アクセス許可を一時的に利用するために引き受けることができるアイデンティティ
- ベストプラクティス
- IAM ロールは、サービスやリソースへのアクセス権を長期的にではなく一時的に付与する必要がある状況に適しています。
多要素認証(MFA)
- パスワードを入力後、2 個目の認証形式が必要になる認証
- ベストプラクティス
- ルートユーザーとアカウント内のすべての IAM ユーザーに対して MFA を有効にする
AWS Organizations
- 複数の AWS アカウントを一元的に統合および管理
- 複数のAWSアカウントをポリシーベースで管理
- アカウントのグループを作成し、アカウントの作成を自動化
- グループのポリシーを適用、および管理
- 一括請求(Consolidated Billing)
- アカウントの階層的グループOU(Organizational Unit)に分割
- SCP (Service Control Policy)
- AWSサービスおよびAPIアクションのアクセスコントロールを制御
- 組織のルート、個別のメンバーアカウント、OUに適用
AWS Artifact
- AWS のセキュリティおよびコンプライアンスレポートのオンデマンドでの利用と、特定のオンライン契約を提供するサービス
- AWS Artifact Agreements
- 個別のアカウントと AWS Organizations のすべてのアカウントにおいて契約の確認、受諾、管理を行うことができる
- 特定の規制の対象となる顧客のニーズにも対応
- AWS Artifact Reports
- サードパーティーの監査人からのコンプライアンスレポートを提供
- カスタマーコンプライアンスセンター
- AWSコンプライアンスの詳細を確認できる
- 例
- コンプライアンスに関する重要な質問に対する AWS の回答
- AWS リスクとコンプライアンスの概要
- セキュリティ監査チェックリスト
AWS Shield
- DDoS攻撃からAPPを保護するサービス
- AWS Shield Standard
- すべての AWS のお客様を無料で自動的に保護します。
- 最も一般的で頻度の高いタイプの DDoS 攻撃から AWS リソースを保護します。
- AWS Shield Advanced
- 詳細な攻撃診断と高度な DDoS 攻撃の検出および緩和機能を提供する有料サービス
- Amazon CloudFront、Amazon Route 53、Elastic Load Balancing、WAF などの他のサービスと統合
サービス妨害(Denial-of-Service (DoS))攻撃と分散型サービス妨害(Distributed -Denial-of-Service (DDoS))攻撃の仕組み
- DDoSの例
- UDPフラッド(ブルートフォース攻撃)
- セキュリティグループで対応可能
- HTTPレベル
- SLOWLORIS攻撃
- ELBで対応可能
- UDPフラッド(ブルートフォース攻撃)
AWS KMS (Key Management Service)
- 暗号化キーを使用して暗号化オペレーションを実行できる
AWS WAF (Web Application Firewall)
- ウェブアプリケーションに入ってくるネットワークリクエストをモニタリングするウェブアプリケーションファイアウォール
- Amazon CloudFront および Application Load Balancerと連動
- ウェブアクセスコントロールリスト(WACL)を使用してAWSリソースを保護
- メトリクス発行感覚はデフォルト1分
Amazon Inspector
- 自動化されたセキュリティ評価を実行して、アプリケーションのセキュリティとコンプライアンスを改善することができる
- 構成要素
- ネットワークの到達性に関する設定
- Amazonエージェント(EC2インスタンスにインストール)
- セキュリティ評価サービス
Amazon Guard Duty
- AWS 環境内におけるネットワークとアカウントのアクティビティを継続的にモニタリングし、脅威を特定
Amazon Cognito
- ウェブアプリケーションおよびモバイルアプリに素早く簡単にユーザーのサインアップ/サインイン、アクセスコントロールの機能を追加できるサービス
- 主にモバイル向け
- ユーザープール
- アプリユーザーのサインアップとサインインオプションを提供するユーザーディレクトリ
- IDプール
- AWS の他のサービスに対するアクセスをユーザーに許可