AWSサービス、セキュリティ、アイデンティティ、コンプライアンス

セキュリティ、アイデンティティ、コンプライアンス

セキュリティ、アイデンティティ、コンプライアンスについての備忘録
サービスの概要・特徴・料金などを簡潔（できれば）に記載します。

AWS Identity and Access Management (IAM)

概要

AWSリソースをセキュアに操作するために、認証・認可の仕組を提供するマネージドサービス

特徴

• 各AWSリソースに対して別々のアクセス権限をユーザー毎に付与できる
• 多要素認証(MFA)の提供
• 一時的な認証トークンを用いた権限の委任することができる
• 他のIDプロバイダーで認証されたユーザーにAWSリソースへの一時的なアクセス許可
• 本サービスの利用は、無料

IDと認証情報の管理

• ルートユーザー
  • アクセスキーを持たない
  • AWSリソース全てに完全なアクセス権を持つ為、通常用途に用いないことを推奨
  • IAMユーザーを作成する
• アクセスキー
  • 手動で取り消すまで有効
  • プログラムにハードコードしない、Githubあげない
  • 共有しないようにする
  • IAMロールを利用することを推奨
• IAMユーザー
  • 認証情報をユーザー毎に管理することが可能となりセキュリティを強化できる
  • 協力なパスワードポリシー設定を推奨
• MFAの有効化
  • ルートユーザーや権限の強いユーザーには設定することを推奨
  • MFAデバイスも厳重に管理する
  • 万が一！！デバイスを紛失・盗難・不具合など発生したら Eメールアドレス・電話番号で認証しアカウント情報を更新する

アクセス権限の管理

• AWS管理ポリシー、AWSにより事前定義された管理ポリシーで、サービス・ジョブ切り口で設定されている
• 最小限のアクセス権限から開始し、必要に応じてアクセス権限を追加する
• IAMグループ（IAMユーザーの集合）を利用して、管理コストを抑える

権限の委任

• IAMロール、AWSサービスやアプリケーション等のエンティティに対してAWSリソースの操作権限を付与するための仕組
• EC2インスタンスで実行するアプリケーションに対してIAMロールを使用する
• IDフェデレーションによる一元管理

IDと権限のライフサイクル管理

• AWS アカウントのアクティビティの監視
• AWSリソースの操作ログとして AWS CloudTrail
• IAM認証情報レポート（Credential Report）を活用し、不要な認証情報を削除する
• IAMユーザーパスワード、アクセスキーのローテーションを定期的に実施する

Amazon Cognito

概要

ウェブアプリケーションおよびモバイルアプリに素早く簡単にユーザーのサインアップ/サインインおよびアクセスコントロールの機能を追加できる

特徴

• SAML 2.0 によるエンタープライズ ID プロバイダーを使用したサインインをサポート
• Facebook、Google、Amazon などのソーシャル ID プロバイダーのサインインをサポート
• Oauth 2.0、SAML 2.0、OpenID Connect などの ID およびアクセス管理標準をサポート

Amazon GuardDuty

概要

悪意のある操作や不正な動作を継続的にモニタリングする脅威検出サービス

特徴

• 機械学習、異常検出、および統合された脅威インテリジェンスを使用することで、潜在的な脅威を識別し、優先順位を付ける
• AWS CloudTrail、Amazon VPC フローログ、DNS ログなど、複数の AWS データソースにわたる数千億のイベントを分析
• AWS CloudWatch イベントと統合することで、GuardDuty アラートは実用的

Amazon Inspector

概要

自動化されたセキュリティ評価サービス

特徴

• 自動的にアプリケーションを評価し、露出、脆弱性、ベストプラクティスからの逸脱がないかどうかを確認できる
• 評価の実行後、重大性の順に結果を表示した詳細なリストが Amazon Inspector によって作成される
• Amazon EC2 インスタンスへの意図しないネットワークアクセスや、EC2 インスタンス上の脆弱性をチェックできる

Amazon Macie

AWS Artifact

AWS Certificate Manager

概要

AWS のサービスとお客様の内部接続リソースで使用するパブリックとプライベートの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理、デプロイ

特徴

• Elastic Load Balancing、Amazon CloudFront ディストリビューション、Amazon API Gateway の API など ACM に統合された AWS リソースでデプロイできる
• AWS Certificate Manager でプロビジョニングされたパブリック証明書やプライベート証明書は、無料
• マネージド型証明書

AWS CloudHSM

概要

マネージド型ハードウェアセキュリティモジュール (HSM)

特徴

AWS Directory Service

AWS Firewall Manager

AWS Key Management Service(AWS KMS)

概要

キーを簡単に作成・管理し、幅広い AWS のサービスやアプリケーションで暗号化の使用を制御できる

特徴

• 完全マネージド型
• AWS KMS は AWS サービスと統合されている
• サービスに格納されているデータの暗号化と、それを復号するキーへのアクセスを制御する

AWS Resource Access Manager

AWS Secrets Manager

AWS Security Hub

AWS Shield

概要

マネージド型の分散サービス妨害 (DDoS) に対する保護サービス

特徴

• ネットワークおよびトランスポートレイヤーの DDoS 攻撃を防御
• スタンダードとアドバンストの 2 つの階層

AWS Single Sign-On

AWS WAF