AWSの基本的なセキュリティに関する考え方
- セキュリティはAWSと客の間で共有されるもの = 責任共有モデル
- AWSが責任を負う個所、客の責任となる個所、どちらも負う個所に分けている
- AWSのコンプライアンスについて
- AWSデータセンターが実施しているセキュリティについて
IDアクセス権管理
- 利用者へ与える権限は必要最小限にするべき
- AWS IAMでコントロール
- 認証・認可の仕組みを提供
- ルートユーザー、IAMユーザーの区別(前回学んだ内容)
- AWS IAMでコントロール
- とりあえず最初にやっておくべきこと
- rootユーザーに多要素認証 (MFA) を設定
- パスワードポリシーの設定方法
- アカウント設定→パスワードポリシー
- IAMY
- 右上→アカウント→「IAMユーザーおよびロールによる請求情報へのアクセス」をチェックして更新
請求データの確認とアラート
- Billing and Cost Management
- 請求料金を見られる
- 予算
- 左メニューの「予算」を押下
- 予算を超えたらメールにアラートが飛ぶ
- 予算レポート
- 定期的に予算状況をメールに飛ばす
- データエクスポート
- Amazon S3に定期的にレポートを作成する
操作履歴とリソース変更履歴の記録
- AWS CloudTrail
- AWSサービス利用時の行動履歴をログに記録
- AWS Config
- リソース変更履歴を管理
脅威検知
- Amazon GuardDuty
- 機械学習を用いた脅威検知サービス
- AWS CloudWatch Events
- GuardDutyと連携して通知を飛ばせる
ベストプラクティスの確認
- AWS Trusted Advisor
- 各項目ごとに、ベストプラクティスや、ベストプラクティスが適用できる個所を確認できる
- サポートプランがビジネス以上じゃないと全ての項目が確認できない
- メール通知も可
- 画面上の歯車ボタン→サポートセンター→左メニューから、サポートプランを変更できる
- root権限が必要