モジュール6
- 責任共有モデル
- AWSとユーザーでお互いに担当範囲を明確にして、システムにおけるセキュリティの責任を共有する考え方
AWSクラウド環境自体のセキュリティはAWSが責任を持つ
AWSクラウド環境内でのシステム設計や提供されるサービスの有効化や無効化、設定内容はユーザーが責任を持つ
参考リンク:責任共有モデルとは何か、を改めて考える - AWS Identity and Access Management (IAM)
- AWSアカウントで認証と認可を行うサービス
- 認証
- IAMユーザー名やパスワードの組み合わせなどでAWSアカウントへのアクセスが許可されているのかを確認する
- 認可
- 認証したIAMユーザーがどのAWSサービスにどんな操作をすることができるのか、IAMポリシーで 許可 や 拒否 のルールを設定する
- IAMユーザー
- AWSアカウント内で作成するユーザー
AWS のサービスやリソースを利用する人またはアプリケーションを表す - IAMグループ
- 同じ権限を必要とするIAMユーザの集合。グループに対してアクセス権限を付与することで管理を容易にします
- IAMロール
- AWSリソースへの一時的なアクセス権限を引き受けることができる仕組み
- IAMポリシー
- IAMユーザーやIAMグループ、IAMロールがどのAWSサービスにどんな操作をすることができるのか設定する仕組み
- AWS Organizations
- 複数の AWS アカウントを一元的に運用、管理ができるサービス
- サービスコントロールポリシー (SCP)
- Organizations 組織内のAWSメンバーアカウントのアクセス許可を一元的にコントロールする機能
組織単位 (OU) :Organizations Unit
共通のビジネス要件 や セキュリティ要件を持つ複数のAWSアカウントをまとめることができる機能
AWS Artifact
ISO 認定や SOC レポートなどの AWS のセキュリティとコンプライアンスに関するドキュメントのダウンロードができるサービス
- AWS WAF(Web Application Firewall)
- 正常なトラフィックに紛れて届く HTTP/HTTPS の攻撃からアプリケーションを保護
AWS Shield
DDoS 攻撃からユーザーのアプリケーションを保護するサービス
- DDoS攻撃(Distributed Denial of Service Attack)
- 分散型サービス拒否攻撃
複数の異なる端末から同時に大量のアクセスやデータを送り込むサイバー攻撃 - Amazon Inspector
- セキュリティ評価を自動で行って、アプリリケーションに潜むソフトウェアの脆弱性や意図しないネットワークの露出について継続的にスキャンする脆弱性管理サービス
AWS Key Management Servicer
データの暗号化やデジタル署名に使用するキーを作成して管理するサービス
参考リンク:AWS KMS をグラレコで解説