「AWS認定 セキュリティ-専門知識」を読んだ。
過去に「AWS認定 セキュリティ-専門知識」を読んだで知らなかったことをまとめたが、さらに読み込んだ。
あらためて各種サービスの説明がわかりやすく丁寧であることを感じた。

ConfigでEC2の構成をチェックすることが可能

AWS ConfigとAWS Systems Managerを連携させることで、EC2上のカーネルバージョンや特定ソフトがインストールされているかなどのチェックが可能。つまりオンプレミスサーバも管理可能。
https://dev.classmethod.jp/articles/awsconfig-am/

X-Rayでサポートされている言語

EC2、Elastic Beanstalk、Amazon ECS、AWS Lambdaにて実行されているC#、Go、Java、Node.js、Python、Rubyなどを分析可能。
https://docs.aws.amazon.com/ja_jp/xray/latest/devguide/xray-usage.html#xray-usage-languages

Amazon Inspectorが利用できるのはEC2のみ

オンプレミスサーバでは利用できない。

Kinessis Data Streamsの処理性能

・数十万規模のインプット(プロデューサ)を処理することが可能。
・シャードは1MB/sで1000PUT/sを処理可能。シャードを増やすことで処理量を増やすことが可能。
・データは24時間から最大7日間保持される。

AWS Firewall Manager

WAF、Shield Advanced、VPC Security Groupのポリシーを一元管理可能。

Route 53 トラフィックポリシー

複雑な名前解決を可視化することが可能。

NLBは急激なスパイクに耐えられる

NLBはALBと異なり暖機運転なしに急激なスパイクにも対応可能。（ALBはスケールが間に合わない場合あり）
NLBはAWS Hyperplaneと呼ばれる特殊なAWS独自の負荷分散技術を用いているらしい。
(EFS、NATGateway、PrivateLink、NLBのコア技術として利用されている)

IAM Access Analyzer

アタッチされているポリシーをチェックして、外部からアクセスされる可能性の有無を表示する。
(対象リソースは、S3バケット、IAMロール、KMSキー、Lambda、SQS)

KMSのキーマテアリアルはインポート可能

暗号や複合に利用するキーデータをキーマテリアルと呼ぶ。通常はAWS側で自動作成されるが、自分たちで用意してインポートも可能。(BYOKと呼ぶ)
インポート方法は、マテリアルを暗号化後AWSへアップロードする。BYOKは鍵に特定の要件があるケースや鍵の利用可能期間を定めたい場合に有効。

Cloud HSMとは

専用のハードウェアを利用して、ユーザが用意した暗号化キーをVPC内で管理するサービス。

VPCエンドポイントのアクセス制限方法

Gatewayタイプはアクセスポリシー(バケットポリシーのような記法で疎通可能なVPCなどを指定可能)を設定し、Interfaceタイプはセキュリティグループを設定する。