「AWS認定セキュリティ-専門知識」を読んだ

「AWS認定セキュリティ-専門知識」を読んだ。
各サービスの基本がわかりやすくまとめられており、良本だった。知らなかったことまとめ。

IAMロールについて

EC2用のロールは、Principal(信頼関係)にてEC2が設定されている。

アクセス権限の境界を設定すると、自ポリシーと設定したポリシーの両方で許可されている操作しかできない。

IAMロールやS3バケットの設定から外部プリンシパルに共有されているリソースを表示する。
意図したアクセスのみを提供しているか継続的に分析できる。追加費用なし。

・AWSが無料のマネージドルールを提供している
・より複雑なルール設定ができるようになった

ユーザーの地理的な場所に基づいて名前解決結果を変更することができる。

サードパーティの監査人によるAWSの監査レポートをダウンロードできるサービス。

S3 Glacierに保存されるデータはAWSが管理するキーで自動的に暗号化される。
この挙動は変更することはできない。

・バケット作成時にしか有効にできない。
・一度書き込むと読み込みしかできなくなるため、WORM(Write Once Read Many)と呼ばれる。

オブジェクトアップロード後にロック可能。

・Parameter Store は無料。
・Parameter Store に自動ローテーション機能はない。
・Parameter Store の1秒あたり最大リクエスト数は1000、Secret Managerは2000。

テーブルなどのスキーマ情報はGlueに格納される。

・複数のサーバに対して、同じ処理を実行できる。
・複数の処理をステップ実行できる。
・S3のバケット暗号化を有効にするなど、AWSリソースを処理することができる。
・承認といったプロセスを挟むことが可能。

発生したインシデントについて時系列情報を含んだ形で調査できる。
インプットはVPC Flow Logs、CloudTrail、GuardDuty など。

CloudTrailでS3にログを出力する。CloudWatch Event + Lambda + Athena で定期的に問題が起こっていないかS3のログを確認する。