AWS セキュリティ
目次
IAM
Identity and Access Management
AWSリソースへの認証と認可を管理するサービス
rootユーザー
管理者権限保持ユーザー
AIMユーザー
Identity and Access Management
権限の種類を制限したユーザー
名前と認証情報(アクセスキー)で構成される
グループ
AIMユーザーの集合
ロール
グループ化したポリシー
ポリシー
AWSリソースへの権限(AWSが最初から用意している)
セキュリティ認証情報
MFA
Multi Factor Authentication
多要素認証
サインイン時、ユーザー名とパスワードに加えてMFAデバイスからの認証コードの入力を強制する機能
AWS CloudTrail
各APIへの操作に対するログを作成する機能
ログファイルはS3バケットとして保存される
AWS Config
AWSリソースの変更履歴を記録する機能
Amazon GuardDuty
セキュリティ脅威を検知する機能
セキュリティグループ
STS
AWS Security Token Service
AWSリソースへの一時的な認証情報を提供する機能
IAMとの違い
・有効期限の設定で一時的に許可される
・リクエストに応じてその都度動的に作成される(ユーザーに紐づいて保存されない)
防御機能
WAF
Web Application Firewallとは?
「ファイアウォール」参照
可用性侵害(DDos)、セキュリティ侵害(SQLインジェクション、クロスサイトスクリプティング)等の攻撃に対してセキュリティルールを設定できる
設定するルール数、リクエスト数に応じて料金が決まる。
保護対象サービス
・API Gateway
・Elastic Load Balancer
・CloudFront
AWS Shield
DDoSからの保護
・攻撃緩和
・常時検出
等
| 機能 | スタンダード | アドバンスド |
|---|---|---|
| 料金 | 無料 | 有料 |
| 保護単位 | CloudFront、ドメイン | リソース |
