AWS 認定 - 試験対策 「ソリューションアーキテクト - アソシエイト」（3

セキュアなアプリケーションおよびアーキテクチャを規定する

AWS Innovate オンラインカンファレンス
* AWS 認定 - 試験対策 「ソリューションアーキテクト - アソシエイト」
* セッション１：回復性の高いアーキテクチャを設計する
* セッション 2：パフォーマンスに優れたアーキテクチャを定義する
* セッション 3：セキュアなアプリケーションおよびアーキテクチャを規定する
* セッション 4：コスト最適化アーキテクチャを設計する
* セッション 5：運用上の優秀性(オペレーショナルエクセレンス)を備えたアーキテクチャを定義する + クロージング

アプリケーション層の保護方法を決定する

責任共有モデル

• AWSの責任
  • クラウドのセキュリティに責任を持つ
  • すべてのサービスを実行するインフラストラクチャの保護に責任を負う
  • ハードウェア、ソフトウェア、ネットワーキング、施設が含まれる
• お客様の責任
  • クラウドにおけるセキュリティに責任を持つ

AWS Identity and Access Management（AWS IAM）

• リソースへのアクセスコントロールを管理する
• 操作に対する認証と認可の仕組を提供するサービス
• ユーザー、グループ、ロール、ポリシーの４つを制御
• IAMユーザー
  • 認証情報を管理
  • ひとりに対してひとつIAMユーザーを作成する
• IAMグループ
  • ユーザーを束ねて管理
• IAMロール
  • 一時的に権限を委任する場合に用いる
• IAMポリシー
  • 認証を受けたユーザーがアクセスできるリソースの範囲、操作を定義するドキュメント
  • ユーザー、グループ、ロールに割り当てることでアクセスできる権限の範囲を指定できる
  • 必要な最小限の権限を付与する
  • 権限が足りなければ必要な権限のみを追加する
• フェデレーション
  • 自社のユーザー認証に対してSAML IDフェデレーションを利用することで IAMユーザーとの二重管理を避けることができる
• ウェブIDフェデレーション
  • Security Token Service(STS)を使用してロールを割り当てられたOpenIDプロバイダーのウェブIDを持つユーザー
• アンチパターン
  • IAMユーザーを共有する運用
• ベストプラクティス
  • https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html
• AWSアクセスキーを管理するためのベストプラクティス
  • https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-access-keys-best-practices.html
• AWS セキュリティのベストプラクティス」ホワイトペーパー
  • https://d0.awsstatic.com/whitepapers/aws-security-best-practices.pdf
• アマゾンウェブサービス: セキュリティプロセスの概要
  • https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

データの保護方法を決定する

Virtual Private Cloud(VPC)

• お客様独自のプライベートな仮想ネットワークを構築できる
• AWSリソースを起動することができる
• IPv4, IPv6 を利用できる
• インターネットから直接アクセスできるパブリックなサブネットとインターネットから直接アクセスできないプライベートなサブネットの大きく二つに別けることを推奨
• パブリックサブネットは、インターネットゲートウェイが設定されるルーティングテーブルがアタッチされたサブネット
• プライベートサブネットは、インターネットゲートウェイが設定されないルーティングテーブルがアタッチされたサブネット
  • インターネットに直接アクセスできない

サービス	概要
インターネットゲートウェイ	インターネットに接続できる
仮想プライベートゲートウェイ	オンプレミスとのVPN接続
AWS Direct Connect	オンプレミスとの専用回線接続
VPCピア接続	VPCとVPCを接続する
VPCエンドポイント	VPC内のインスタンスとS3などのVPC外にあるサービスと直接接続
NATゲートウェイ	プライベートサブネットからのインターネット接続
VPCフローログ	VPC内のトラフィックを監視

セキュリティグループとネットワークACL

	セキュリティグループ	ネットワークACL
ルール	明示的な許可のみ	明示的な許可または拒否
ステート	ステートフル	ステートレス
適用対象	ENIに適用	サブネットに適用
関連付け	単一のVPCに関連付け	単一のVPCに関連付け
サポート対象	VPCとEC2 Classic	VPCのみ

• ENIは、仮想Nick

データ層

• データの保護
  • 責任共有モデルにてお客様の責任範囲となる
• 転送中のデータ
  • インターネットからWebの通信は、SSL
  • VPN, Direct Connectによるオンプレミスとの通信は、 IPsec
  • オンプレミス・AWSへのImport/Export Snowballでデバイスによるデータ移動
  • AWS API は、デフォルトでHTTPS
• 保管中のデータ
  • データに対するアクセスコントロール
  • 暗号化
  • S3
  • デフォルトは、プライベートなデータ
  • サーバサイド暗号化
    • S3で暗号化する
  • クライアントサイド暗号化
    • クライアント側で暗号化してS3にアップロード
• AWS KMS(Key Management Service)
  • お客様によるソフトウェアベースのキー管理
  • マネージドサービス
• AWS CloudHSM
  • お客様専用のハードウェアアプライアンス

単一VPCアプリケーション向けのネットワーキングインフラストラクチャを定義する