「AWS認定 セキュリティ-専門知識」を読んだ。
各サービスの基本がわかりやすくまとめられており、良本だった。知らなかったことまとめ。
IAMロールについて
EC2用のロールは、Principal(信頼関係)にてEC2が設定されている。
パーミッションバウンダリー
アクセス権限の境界を設定すると、自ポリシーと設定したポリシーの両方で許可されている操作しかできない。
IAMアクセスアナライザー
IAMロールやS3バケットの設定から外部プリンシパルに共有されているリソースを表示する。
意図したアクセスのみを提供しているか継続的に分析できる。追加費用なし。
WAFv1とv2の違いについて
・AWSが無料のマネージドルールを提供している
・より複雑なルール設定ができるようになった
Route 53 – 位置情報ルーティング
ユーザーの地理的な場所に基づいて名前解決結果を変更することができる。
AWS Artifact
サードパーティの監査人によるAWSの監査レポートをダウンロードできるサービス。
S3 Glacier
S3 Glacierに保存されるデータはAWSが管理するキーで自動的に暗号化される。
この挙動は変更することはできない。
S3 オブジェクトロック
・バケット作成時にしか有効にできない。
・一度書き込むと読み込みしかできなくなるため、WORM(Write Once Read Many)と呼ばれる。
Secret Manager と Parameter Storeの違い
・Parameter Store は無料。
・Parameter Store に自動ローテーション機能はない。
・Parameter Store の1秒あたり最大リクエスト数は1000、Secret Managerは2000。
Amazon Athena
テーブルなどのスキーマ情報はGlueに格納される。
System Manager – Automation
・複数のサーバに対して、同じ処理を実行できる。
・複数の処理をステップ実行できる。
・S3のバケット暗号化を有効にするなど、AWSリソースを処理することができる。
・承認といったプロセスを挟むことが可能。
AWS Detective
発生したインシデントについて時系列情報を含んだ形で調査できる。
インプットはVPC Flow Logs、CloudTrail、GuardDuty など。
CloudTrailを使った定期的な監査
CloudTrailでS3にログを出力する。CloudWatch Event + Lambda + Athena で定期的に問題が起こっていないかS3のログを確認する。