扱う内容
・WAF
・Shield
・KMS
・CloudHSM
【KMS】
KMSで使う2種類の鍵
データキー
データを暗号化する鍵
暗号化するデータの分作らなければならない
KMSキー
データキーを暗号化する鍵
2段階で鍵を保護する方式をエンベロープ暗号化という
KMSキーの管理体制
AWSマネージド型
鍵の生成、管理はAWSが行う
ユーザーは鍵の削除はできない
カスタマーマネージド型
鍵の生成、管理、削除はユーザーが行う
(CloudHSMと違い、多少はAWS側も手伝ってくれる)
鍵の自動ローテーション機能がついている
KMSのキーポリシー
KMSキーポリシーは、KMSキーに適用するリソースベースのポリシー
鍵に対して、IAMユーザーまたはIAMロール、他のAWSアカウントに対して操作可能な権限を設定する
鍵の作成者とは異なるIAMユーザーやIAMロールが複合したい場合、キーユーザーに追加することで複合できるようになる
【CloudHSM】
CloudHSMとは
専用のハードウェアデバイスを用いて、暗号化鍵を生成、管理する
鍵の生成や保管、削除などは何から何まで完全にユーザー側で行わなければならない
【Shield】
Shieldの種類
Shield Standard
普通のShield
DDoS攻撃から守ってくれる
Shield Advanced
ちょっと高級なShield
高度な保護サービスを利用できる
EC2インスタンス、CloudFront、NLBを守ってくれる
【WAF】
WAFの保護対象
・API Gateway
・ALB
・CloudFront