AWSサービスの機能を調べる（セキュリティ）

皆さんは、AWSクラウドが持つ機能を調べるとき、どうしていますか？

また、使おうと考えているサービスの仕様をどのように調べていますか？

私はこのところ、AWSサービスの機能のホントのところを確認するために、AWS公式ホームページの「AWSサービス別資料」で確認を取っています。
（資料には、SlideShare 、PDF 、Youtube があります）

ちまたのインターネットでの技術ネタを調べることも過去多かったのですが、情報の鮮度もありますし、やっぱり本家の情報がしっくりと安心できます！！

今回は、この画面の左にあるカテゴリー分けから「Front-End Web & Mobile」を選んだときに、各資料にはどのような情報が含まれているかを箇条書きにします。（99-99 形式の数字はページを表します）

Security

●●●資料【01_AWS Artifact】

7-12 　　監査について
14-16 　　AWS Artifact 概要
18Page 　AWS Artifactの利用開始

19-23 　　レポートの閲覧
　　　　　 ※ “Current”=現行のレポート、“Previous”=以前のレポート
24-30 　　レポートの活用（SOCを中心に）
　　　　　 SOC1：財務 SOC2：セキュリティ、可用性、機密性 SOC3：公開情報
　　　　　 SOC Continued Operations Letter をダウンロード可能（差分）
32-34 　　AWS Artifactの利用（契約）
35Page 　日本準拠法への変更に関する留意事項：
　　　　　　　請求連絡先アドレスが日本国内にあるアカウントに対してのみ提供

●●●資料【02_AWS Audit Manager】

7-9　　監査とは
11-13　AWS Audit Manager 概要
15-19 　AWS Audit Manager 構成要素

21-23 　マルチアカウント環境 の AWS Audit Manager

25-27 　Audit Manager の初期セットアップ

28Page 　評価/アセスメントの作成手順
　　　　　 ①評価の詳細を設定する
　　　　　 ②対象範囲の AWS アカウントを指定する
　　　　　 ③対象範囲の AWS サービスを指定する
　　　　　 ④確認して保存する
　　　　　 ⑤監査オーナーを指定する

29-41 　　評価/アセスメントの作成手順
　　　　　 ※ 最初の結果が出るまで最大24時間程度かかる
42-57 　　カスタムコントロールの作成手順
　　　　　 ※ データソースは 10個まで１つのコントロールに指定可能
58-60 　　手動の証跡/エビデンスのアップロード
61-67 　　評価レポートの作成

68Page 　Audit Manager からの通知

70-71 　　Audit Manager のセキュリティ

72Page 　利用料金
73Page 　制約
76Page 　パートナー様との協業

●●●資料【03_AWS Identity and Access Management (IAM) Part1】

IDと認証情報の管理
アクセス権限の管理

9-10 　　AWS Identity and Access Management (IAM)とは

12-14 　　IDと認証情報の管理
15Page 　AWSアカウントのルートユーザーアクセスキーをロックする(ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)
17Page　 IAMユーザー
18Page 　個々のIAMユーザーの作成 (ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)
20Page 　ユーザーの強力なパスワードポリシーを設定 (ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)
22Page 　アクセスキーを共有しない (ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)
24-25 　　MFA (Multi-Factor Authentication:多要素認証)
26Page 　特権ユーザーに対してMFAを有効化する (ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)

29-32 　　ポリシー
33Page 　AWS管理ポリシーを使用したアクセス許可の使用開始(ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)

35-36 　　アクセス権限の管理、カスタマー管理ポリシー、インラインポリシー
37Page 　インラインポリシーではなくカスタマー管理ポリシーを使用する(ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)

39-46 　　ポリシードキュメントの主な要素
47Page 　IAMポリシーの作成を支援するツール群
48Page 　追加セキュリティに対するポリシー条件を使用する(ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)

50-53 　　アクセス権の決定ロジック(同一アカウントの場合)
54-56 　　アクセス権の決定ロジック (クロスアカウントの場合)
57Page 　最小権限を付与する(ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)

59Page 　IAMグループ
60Page 　IAMユーザーへのアクセス許可を割り当てるためにグループを使用する

●●●資料【04_AWS Identity and Access Management (IAM) Part2】

権限の委任
IDと権限のライフサイクル管理

12-14 　　IAMロール、一時的なセキュリティ認証情報、
　　　　　 AmazonEC2インスタンスで実行するアプリケーションに対し、ロールを使用する

18Page 　ロールを使用したアクセス許可の委任の例
19Page 　ユースケース：IAMロールによるクロスアカウントアクセス
20Page 　IAMロールによるクロスアカウントアクセスの動作
21Page 　クロスアカウントアクセスのためのMFA保護
22Page 　ユースケース：クロスアカウントアクセスにより権限管理を効率化
23Page 　Switch Role

24-28 　　SAML2.0ベースのIDフェデレーション
29-31 　　Amazon Cognitoを用いたモバイルアプリのWebIDフェデレーション

32Page 　ロールを使用したアクセス許可の委任(ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)

35-36 　　AWSアカウントのアクティビティの監視とは？
　　　　　CloudFront CloudTrail CloudWatch Config S3

38-41 　アクセスレベルを使用して、IAM権限を確認する(ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)
43-44 　不要な認証情報を削除する(ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)
46-47 　認証情報の定期的なローテーション(ﾍﾞｽﾄﾌﾟﾗｸﾃｨｽ)

50Page 　Tips1: IAM基本の設定
51Page 　Tips2: IAMコンソールでIAMエンティティを探したり、アクションを素早く行う
52Page 　Tips3: パスワードを紛失した場合について
53Page 　Tips4: MFAの管理
54Page 　Tips5: IAMポリシーのトラブルシューティング
55Page 　Tips6: IAMロールのトラブルシューティング
56Page 　Tips7: IAMアクセスアドバイザーAPIを利用したAWS IAMアクセス権限分析の自動化の検討

●●●資料【05_Amazon Cognito】

7-8 　　　AWSにおけるアプリユーザ認証の主な選択肢
9Page 　　Amazon Cognitoとは
10Page 　　Cognitoのユーザプール、ID プール以外のサービス：AWS AppSync

12-18 　ユーザプールの主な構成要素
19-22 　アプリ クライアント

利用できるAPIは2セット

26-32 　Cognito Identity Provider API を利用
33-39 　USER_SRP_AUTH – SRP プロトコルに基づいて認証

41-48 　Cognito Auth API と Hosted UI を利用

49Page 　要件に応じた API 選択
50Page 　実装には SDK や Library を利用する

52Page 　トークンの種類と用途
54-57 　　トークンをアプリケーションの API へのアクセスに利用
58-59 　　サインアウト

61-62 　　主なユーザ操作
63Page 　　主な管理者操作

64Page 　サインインに利用できる外部IDプロバイダ
65Page 　セキュリティの強化
66Page 　メッセージのカスタマイズ

67Page 　AWS Lambda – トリガーを用いたカスタマイズ
68Page 　Amazon Pinpoint – 分析

69Page 　Amazon CloudTrail – ログ記録
70Page 　Amazon CloudWatch – モニタリング
71Page 　クォータ
72Page 　最後に 〜 ユーザプールの特徴

●●●資料【06_Amazon Detective】

11-17 　　Amazon Detectiveとは
18-21 　　ご利用方法：Amazon Detective の有効化

22-69 　　セキュリティ分析の調査例

70Page 　インシデント調査例のまとめ
71Page 　スレットハンティングの例
72-76 　　Detective 内部の分析プロセス詳細

77-80 　　マルチアカウント対応
81Page 　プロファイルへのURLリンク
82Page 　URLリンクによる他システムとの連携

83Page 　料金

●●●資料【07_Amazon GuardDuty】

7-10 　　Amazon GuardDutyとは
11-13 　　Amazon GuardDutyの利用

20Page 　Threat Detection Types：悪意のあるスキャン インスタンスへの脅威 アカウントへの脅威
22Page 　Data Sources
24Page 　Trusted and Threat IP Lists

27Page 　検出
28Page 　脅威または潜在的な攻撃リスクの主な目的
31Page 　検知する重要度
35Page 　GuardDuty課金

39Page 　あるAWSアカウントで検知したFindingを、他AWSアカウントのGuardDutyに
　　　　　転送・統合管理
40Page 　CloudFormation StackSets、CloudFormationテンプレート

●●●資料【08_Amazon Inspector】

14-20 　　脆弱性診断の種類

25Page 　　Amazon Inspector が提供するもの
26-30 　　　ルールパッケージ

31-44 　　Amazon Inspector 使用手順
45-48 　　Amazon Inspector 概要
49Page 　料金
51-54 　　Amazon Inspectorの効率的な使い方

●●●資料【09_Amazon Macie】

5Page 　機微情報管理の重要性と難しさ
6-7 　　　Amazon Macie概要
9-15 　　Amazon Macieの利用ステップ

16-32　　　機微情報の検出・評価

16Page 　Macieのスキャンはジョブを作成して定義する
17Page 　参考：S3バケット以外のデータをスキャンしたい場合は?
18Page 　Macieの機微情報検出方法
19-20 　　スキャンスコープの設定1
21Page 　サンプリング深度とは？
22Page 　スキャンスコープの設定2
23Page 　Macieのデータ識別子
24-26 　　AWSマネージド識別子の対象情報
27Page 　日本語対応
28-30 　　カスタムデータ識別子
31Page 　暗号化されたS3バケットのスキャン
32Page 　サポートされるファイルタイプ

35-37　　　評価・検出結果の参照、他のサービスとの連携

35Page 　　マネジメントコンソール上での検出結果の確認
36page 　 検出結果の非表示化
37Page　　 アクション実行（JSONエクスポート、S3自動保存）
　　　　　 ※ 検出結果は30日間のみ保管、長期間保管時はS3に保存が必要
38Page 　イベントの生成とAWSサービスとの連携

39-45　　管理、運用、制約

39Page 　マルチアカウント環境におけるMacieの管理
40Page 　Macie APIコールのロギング
41Page 　API, AWSCLIからの呼び出し
42Page 　Macieのセキュリティ
43Page 　サポートされるリージョン（2020年8月現在）
44Page 　制約、クオータ
45Page 　利用料金

●●●資料【10_AWS Certificate Manager】

24-52　　　AWS Certificate Manager(Public)
54-72　　　AWS Certificate Manager(Private)

59Page　　 ACM Private CAの仕組み ※ 親PrivateCAの署名証明書が必要
65Page　　 コンテナでのTLS利用
68-70　　　ACM Private CA API、ACM Private CA CLI、ACM汎用API
71Page　　 Private CAデフォルトサービス上限
72Page　　 ACM Private CA価格

●●●資料【11_AWS CloudHSM】

15-16 　　 AWS Key Management Service（KMS）：マネージド暗号鍵管理サービス
　　　　　 AWS CloudHSM：ハードウェアセキュリティモジュール（HSM）
　　　　　　　　　　　　　　を使用した暗号鍵管理サービス
18Page 　　異なるリージョンからはCloudHSMにアクセス出来ない
　　　　　 （バックアップイメージを異なるリージョンに転送して
　　　　　　　サービスをリストアすることは可能）
20-23 　　 　CloudHSMアーキテクチャ
23Page　　 CloudHSMの安全性 FIPS140-2 レベル3認証
　　　　　 レベル2 : レベル1に加えて、物理的な改ざんの痕跡を残す
　　　　　 レベル3 : レベル2に加えて、物理的な改ざんへの耐性を持つこと
　　　　　 ※ Tamper Resistance（物理改ざんへの耐性）の要件として、
　　　　　 　　筐体を無理やり開けようとするとデータがゼロリセットされる、
　　　　　 　　電磁波に対する耐性、頑強な筐体などがある
24Page　　 CloudHSMのユースケース
　　　　　 　①KMSのカスタムキーストアとして使用
　　　　　 　②SSL/TLS暗号化、復号処理のオフロード
　　　　　 　③CA局の秘密鍵管理
　　　　　 　④Oracle DBのTransparent Data Encryption（透過型暗号）
　　　　　 　　※ 　Amazon RDS上のOracleではサポートされない
　　　　　 　⑤ファイルやデータへのデジタル署名
　　　　　　 ⑥デジタル権限管理
　　　　　 　⑦CloudHSMをサポートするサードパーティソリューションとの統合
25Page　　 AWS KMSカスタムキーストア機能
26Page　　 KMSとCloudHSMを用いたカスタムキーストアの違い

30-31 　　 CloudHSMの管理
32-33 　　 CloudHSM CLI実行環境の構成
34Page　　 CloudHSMユーザー管理：IAMとは別の管理
35-37 　　 CloudHSMクォーラム認証：複数の認証ユーザーが承認しないと操作が出来ない
38Page 　　CloudHSM ClassicやオンプレミスのHSMからの鍵の移行
39-40 　　 CloudHSMクラスター：1クラスターに最大28台のHSMインスタンスを作成可能
41-44 　　 CloudHSMクラスター管理
　　　　　 ①使用状況はCloudWatchメトリクスで把握可能
　　　　　 ②クラスター間の同期
　　　　　 ③クラスター間の同期
　　　　　 ④バックアップ、リストア
　　　　　 ⑤別リージョンへのバックアップのコピーとクラスター作成
45Page　　 CloudHSMのログ、監査：CloudTrail､メトリクス､クライアントログ､監査ログ

●●●資料【12_AWS Directory Service】

7-13 　　　Active Directoryとは

14-36　　　Simple AD

37-53　　　AWS Management Consoleとの認証フェデレーション

38Page　　 IAM
39Page　　 SAML 2.0によるSSOフェデレーション
40Page　　 Active Directoryフェデレーションサービス（ADFS）
41Page　　 ADFSによるConsole Federationの動作
42Page　　 ADFS on AWS
43Page　　 AD Connectorによるフェデレーション
44-45　　　AD Connectorの作成
46Page　　 Access URLの設定 ※ 一度設定すると変更・削除はできない
47Page　　 AWS Management Console連携の設定
48Page　　 ユーザー/グループとIAMロールのマッピング
49Page　　 AWS Management Consoleへのシングルサインオン（SSO）
50-51　　　多要素認証（MFA）
52Page　　 MFAの設定
53Page　　 AD Connectorによるクロスアカウントアクセス

54-55　　　AWSアプリケーションとの連携、シングルサインオン（SSO）の有効化

57-66　　　AWS Directory Service
67-69　　　信頼関係の追加、管理アカウント権限、スキーマの拡張

70-71　　　Simple ADとの比較
72Page　　 AWS Directory Serviceの料金
73-74 　　 無料利用枠、利用可能なリージョン
　　　

●●●資料【13_AWS Key Management Service】

13-17　　　AWS KMS概要
18-21　　　できること/できないこと、連携AWSサービス、KMS API

AWS KMSの暗号鍵管理機能

23Page　　 CMKの作成
24Page　　 AWS管理コンソールからのCMK作成
25-26 　　 　鍵のインポート：お客様所有のKMI

AWS KMSの認可・監査

28Page　　 Key Policy
29-30　　　暗号鍵のデフォルトポリシー例
31Page　　 Policyの評価
32-33　　　許可(Grants)
34-35　　　Encryption Context

※ CloudTrailのログに平文で出力されるため、Encryption Contextに機微情報を利用しない

36Page　　 Grantsの利用例 – Amazon EBSのボリュームID指定
37Page　　 CloudTrailによるKMSのログ集約

AWS KMSの鍵を使用した暗号化/複合化

39Page　　 鍵利用のAPI
40Page　　 AWS KMSを使用した暗号処理

※ 　平文のデータキーは、決してキーをディスクにおいてはならない
※ 　暗号化処理が終了したら即座に削除する
　　（複合処理でも同様）

41Page　　 AWS KMSを使った複合処理
42Page　　 AWS KMSを利用したデータ暗号の選択肢
43Page　　 AWS Encryption SDK
44Page　　 AWS SDKを利用したClient-Side Encryption
45-46　　　AWSサービスでのSSE(Server-Side Encryption) with KMS

AWS KMSの暗号化詳細

50Page　　 AWS Key Management Service HSM
51Page　　 FIPS 140-2認定のポイント
52Page　　 AWS KMSの鍵管理 ※ HBK：CMKの鍵データ実体
53Page　　 CMK(カスタマーマスターキー)のライフサイクル
54Page　　 ローテーションの仕組み

AWS KMSのTIPS

56-57　　　AWS KMSのベストプラクティス ※ CMKの無効化と削除、特に削除は慎重に
58-62　　　AWS KMS利用TIPS∈EBS、S3、RDS
63-65　　　KMSのセキュリティ
66Page　　 KMSの料金

●●●資料【14_AWS Managed Microsoft AD】

6Page　　　Active Directoryの変遷
7-10　　　 AWS Managed Microsoft AD
11-12　　　信頼関係の設定定（双方向）
13-17　　　AWS Managed Microsoft AD 初期設定
18Page　　 管理用サーバーにツールをインストール
19-20　　　MSADを管理するサーバーで確認
21-28　　　オンプレミス側のADを設定する
29-33　　　セットアップ手順 AWS Microsoft Managed AD

34Page　　 AWS Managed Microsoft ADで何ができるか
35Page　　 AWS Managed Microsoft ADでの制限事項

36Page　　 EC2インスタンスでActive Directoryを運用

38Page　　 AWSの他のディレクトリサービス

40Page　　 ディレクトリのモニタリング
41Page　　 パスワードルールはどう設定するの？
42Page　　 マルチリージョンの設定方法
43Page　　 Route53 の Private Hosted Zone の名前解決を行うには？
44Page　　 Office365をAWS Managed Microsoft ADでパスワード同期を使わずに使用できますか？

46Page　　 エディションの違い
47-48 　　 料金

●●●資料【15_AWS Organizations】

6-8 　　　AWS Organizationsとは
10-13 　　使い始める前に使い始める前に

14Page 　組織を作成する
15-16 　　すべての機能を後から有効にする
17-20 　　新規アカウント
21-22 　　スイッチロール
23-25 　　既存のAWSアカウントを組織内に追加する
26-30 　　組織からアカウントを削除
31Page 　組織単位 (OU) の作成
32-37 　　サービスコントロールポリシー
39Page 　AWS CLIで操作

40Page 　一括請求
43-47 　　複数AWSアカウント利用のメリット
48-49 　　AWS管理ユーザの管理

●●●資料【16_AWS Shield Advanced】

22-30 　　　AWS Shieldとは
29Page 　　Edge POP

●●●資料【17_AWS Shield】

16Page 　AWS Shieldとは
18-21 　　AWS Shield Standard
23-37 　　AWS Shield Advanced
38Page 　価格(Standard Protection / Advanced Protection)

40-66 　　AWS Shield Advancedオペレーション
68-69 　　AWS WAF セキュリティ自動化をデプロイ

●●●資料【18_AWS Security Hub】

8-11 　AWS Security Hub とは

13Page 　AWS Security Hub を使ってみる

15-16 　　AWS Security Hub デプロイのポイント
17Page 　マルチアカウント用スクリプトを活用する
18Page 　[参考] GuardDutyのアカウント階層の活用

20Page 　　AWS Security Hub データの流れ
21-26 　　AWS セキュリティサービスとの統合
　　　　　 Amazon GuardDuty
　　　　　 Amazon Inspector
　　　　　 Amazon Macie
　　　　　 AWS IAM Access Analyzer
　　　　　 AWS Firewall Manager
　　　　　 AWS Systems Manager Patch Manager
32Page 　　AWS Certificate Manager Private CA の監視
35-38 　　　Security Hub セキュリティ基準の有効化

40Page 　　対応すべき検出結果のフィルタリング
41Page 　　改善アクションのガイダンス

47Page 　　検出結果に基づいた対応
50-52 　　　Security Hub カスタムアクション作成
53Page 　　[参考] サンプルカスタムアクション

59-60 　コスト

●●●資料【19_AWS WAF アップデート】

7-21 　　Web Application Firewall (WAF)とは

23Page 　AWS WAFのコンポーネント
24-31 　　Web ACL
32-33 　　ルール設定例
34Page 　WAF Capacity Unit (WCU)とは
35Page 　Web ACLで消費されるWCUリソース

39-41 　AWS Managed Rules for AWS WAF (AMR)とは
48-61 　Web ACL作成の流れ

63-68 　ログとモニタリング

70-75 　AWS WAF利用のための考慮事項
77-78 　AWS WAFの料金

●●●資料【20_AWS WAF – OWASP Top10脆弱性緩和策 -】

SlideShare

27-53　　OWASP Top10防御
33-43 　　プロファイル
45-53 　　OWASP Top10　Templete

55Page 　　IP Address Reputationリスト
56Page　　 自動化

58Page 　　料金
59Page 　　AWS WAF 制限

●●●資料【21_AWSアカウント シングルサインオンの設計と運用】

8-12 　　マルチアカウントのアイデンティティ管理
14Page 　AWSアカウントにおけるシングルサインオン
15Page 　IDフェデレーション withSAML
16-19 　　IDフェデレーションの構成に必要なタスク

21-30 　　AWS Single Sign-On(SSO)とは

32-42 　　シングルサインオン設計のポイント
43-46 　　多様な要件への対応
48-59 　　シングルサインオン運用のポイント
54-59 　　属性ベースのアクセスコントロール(ABAC)