AWSサービスの機能を調べる(セキュリティ)

皆さんは、AWSクラウドが持つ機能を調べるとき、どうしていますか?

また、使おうと考えているサービスの仕様をどのように調べていますか?

私はこのところ、AWSサービスの機能のホントのところを確認するために、AWS公式ホームページの「AWSサービス別資料」で確認を取っています。
(資料には、SlideShare 、PDF 、Youtube があります)

ちまたのインターネットでの技術ネタを調べることも過去多かったのですが、情報の鮮度もありますし、やっぱり本家の情報がしっくりと安心できます!!

今回は、この画面の左にあるカテゴリー分けから「Front-End Web & Mobile」を選んだときに、各資料にはどのような情報が含まれているかを箇条書きにします。(99-99 形式の数字はページを表します)

Security

●●●資料【01_AWS Artifact】

7-12   監査について
14-16   AWS Artifact 概要
18Page  AWS Artifactの利用開始

19-23   レポートの閲覧
      ※ “Current”=現行のレポート、“Previous”=以前のレポート
24-30   レポートの活用(SOCを中心に)
      SOC1:財務 SOC2:セキュリティ、可用性、機密性 SOC3:公開情報
      SOC Continued Operations Letter をダウンロード可能(差分)
32-34   AWS Artifactの利用(契約)
35Page  日本準拠法への変更に関する留意事項:
       請求連絡先アドレスが日本国内にあるアカウントに対してのみ提供

●●●資料【02_AWS Audit Manager】

7-9  監査とは
11-13 AWS Audit Manager 概要
15-19  AWS Audit Manager 構成要素

21-23  マルチアカウント環境 の AWS Audit Manager

25-27  Audit Manager の初期セットアップ

28Page  評価/アセスメントの作成手順
      ①評価の詳細を設定する
      ②対象範囲の AWS アカウントを指定する
      ③対象範囲の AWS サービスを指定する
      ④確認して保存する
      ⑤監査オーナーを指定する

29-41   評価/アセスメントの作成手順
      ※ 最初の結果が出るまで最大24時間程度かかる
42-57   カスタムコントロールの作成手順
      ※ データソースは 10個まで1つのコントロールに指定可能
58-60   手動の証跡/エビデンスのアップロード
61-67   評価レポートの作成

68Page  Audit Manager からの通知

70-71   Audit Manager のセキュリティ

72Page  利用料金
73Page  制約
76Page  パートナー様との協業

●●●資料【03_AWS Identity and Access Management (IAM) Part1】

IDと認証情報の管理
アクセス権限の管理

9-10   AWS Identity and Access Management (IAM)とは

12-14   IDと認証情報の管理
15Page  AWSアカウントのルートユーザーアクセスキーをロックする(ベストプラクティス)
17Page  IAMユーザー
18Page  個々のIAMユーザーの作成 (ベストプラクティス)
20Page  ユーザーの強力なパスワードポリシーを設定 (ベストプラクティス)
22Page  アクセスキーを共有しない (ベストプラクティス)
24-25   MFA (Multi-Factor Authentication:多要素認証)
26Page  特権ユーザーに対してMFAを有効化する (ベストプラクティス)

29-32   ポリシー
33Page  AWS管理ポリシーを使用したアクセス許可の使用開始(ベストプラクティス)

35-36   アクセス権限の管理、カスタマー管理ポリシー、インラインポリシー
37Page  インラインポリシーではなくカスタマー管理ポリシーを使用する(ベストプラクティス)

39-46   ポリシードキュメントの主な要素
47Page  IAMポリシーの作成を支援するツール群
48Page  追加セキュリティに対するポリシー条件を使用する(ベストプラクティス)

50-53   アクセス権の決定ロジック(同一アカウントの場合)
54-56   アクセス権の決定ロジック (クロスアカウントの場合)
57Page  最小権限を付与する(ベストプラクティス)

59Page  IAMグループ
60Page  IAMユーザーへのアクセス許可を割り当てるためにグループを使用する

●●●資料【04_AWS Identity and Access Management (IAM) Part2】

権限の委任
IDと権限のライフサイクル管理

12-14   IAMロール、一時的なセキュリティ認証情報、
      AmazonEC2インスタンスで実行するアプリケーションに対し、ロールを使用する

18Page  ロールを使用したアクセス許可の委任の例
19Page  ユースケース:IAMロールによるクロスアカウントアクセス
20Page  IAMロールによるクロスアカウントアクセスの動作
21Page  クロスアカウントアクセスのためのMFA保護
22Page  ユースケース:クロスアカウントアクセスにより権限管理を効率化
23Page  Switch Role

24-28   SAML2.0ベースのIDフェデレーション
29-31   Amazon Cognitoを用いたモバイルアプリのWebIDフェデレーション

32Page  ロールを使用したアクセス許可の委任(ベストプラクティス)

35-36   AWSアカウントのアクティビティの監視とは?
     CloudFront CloudTrail CloudWatch Config S3

38-41  アクセスレベルを使用して、IAM権限を確認する(ベストプラクティス)
43-44  不要な認証情報を削除する(ベストプラクティス)
46-47  認証情報の定期的なローテーション(ベストプラクティス)

50Page  Tips1: IAM基本の設定
51Page  Tips2: IAMコンソールでIAMエンティティを探したり、アクションを素早く行う
52Page  Tips3: パスワードを紛失した場合について
53Page  Tips4: MFAの管理
54Page  Tips5: IAMポリシーのトラブルシューティング
55Page  Tips6: IAMロールのトラブルシューティング
56Page  Tips7: IAMアクセスアドバイザーAPIを利用したAWS IAMアクセス権限分析の自動化の検討

●●●資料【05_Amazon Cognito】

7-8    AWSにおけるアプリユーザ認証の主な選択肢
9Page   Amazon Cognitoとは
10Page   Cognitoのユーザプール、ID プール以外のサービス:AWS AppSync

12-18  ユーザプールの主な構成要素
19-22  アプリ クライアント

利用できるAPIは2セット

26-32  Cognito Identity Provider API を利用
33-39  USER_SRP_AUTH – SRP プロトコルに基づいて認証

41-48  Cognito Auth API と Hosted UI を利用

49Page  要件に応じた API 選択
50Page  実装には SDK や Library を利用する

52Page  トークンの種類と用途
54-57   トークンをアプリケーションの API へのアクセスに利用
58-59   サインアウト

61-62   主なユーザ操作
63Page   主な管理者操作

64Page  サインインに利用できる外部IDプロバイダ
65Page  セキュリティの強化
66Page  メッセージのカスタマイズ

67Page  AWS Lambda – トリガーを用いたカスタマイズ
68Page  Amazon Pinpoint – 分析

69Page  Amazon CloudTrail – ログ記録
70Page  Amazon CloudWatch – モニタリング
71Page  クォータ
72Page  最後に 〜 ユーザプールの特徴

●●●資料【06_Amazon Detective】

11-17   Amazon Detectiveとは
18-21   ご利用方法:Amazon Detective の有効化

22-69   セキュリティ分析の調査例

70Page  インシデント調査例のまとめ
71Page  スレットハンティングの例
72-76   Detective 内部の分析プロセス詳細

77-80   マルチアカウント対応
81Page  プロファイルへのURLリンク
82Page  URLリンクによる他システムとの連携

83Page  料金

●●●資料【07_Amazon GuardDuty】

7-10   Amazon GuardDutyとは
11-13   Amazon GuardDutyの利用

20Page  Threat Detection Types:悪意のあるスキャン インスタンスへの脅威 アカウントへの脅威
22Page  Data Sources
24Page  Trusted and Threat IP Lists

27Page  検出
28Page  脅威または潜在的な攻撃リスクの主な目的
31Page  検知する重要度
35Page  GuardDuty課金

39Page  あるAWSアカウントで検知したFindingを、他AWSアカウントのGuardDutyに
     転送・統合管理
40Page  CloudFormation StackSets、CloudFormationテンプレート

●●●資料【08_Amazon Inspector】

14-20   脆弱性診断の種類

25Page   Amazon Inspector が提供するもの
26-30    ルールパッケージ

31-44   Amazon Inspector 使用手順
45-48   Amazon Inspector 概要
49Page  料金
51-54   Amazon Inspectorの効率的な使い方

●●●資料【09_Amazon Macie】

5Page  機微情報管理の重要性と難しさ
6-7    Amazon Macie概要
9-15   Amazon Macieの利用ステップ

16-32   機微情報の検出・評価

16Page  Macieのスキャンはジョブを作成して定義する
17Page  参考:S3バケット以外のデータをスキャンしたい場合は?
18Page  Macieの機微情報検出方法
19-20   スキャンスコープの設定1
21Page  サンプリング深度とは?
22Page  スキャンスコープの設定2
23Page  Macieのデータ識別子
24-26   AWSマネージド識別子の対象情報
27Page  日本語対応
28-30   カスタムデータ識別子
31Page  暗号化されたS3バケットのスキャン
32Page  サポートされるファイルタイプ

35-37   評価・検出結果の参照、他のサービスとの連携

35Page   マネジメントコンソール上での検出結果の確認
36page   検出結果の非表示化
37Page   アクション実行(JSONエクスポート、S3自動保存)
      ※ 検出結果は30日間のみ保管、長期間保管時はS3に保存が必要
38Page  イベントの生成とAWSサービスとの連携

39-45  管理、運用、制約

39Page  マルチアカウント環境におけるMacieの管理
40Page  Macie APIコールのロギング
41Page  API, AWSCLIからの呼び出し
42Page  Macieのセキュリティ
43Page  サポートされるリージョン(2020年8月現在)
44Page  制約、クオータ
45Page  利用料金

●●●資料【10_AWS Certificate Manager】

24-52   AWS Certificate Manager(Public)
54-72   AWS Certificate Manager(Private)

59Page   ACM Private CAの仕組み ※ 親PrivateCAの署名証明書が必要
65Page   コンテナでのTLS利用
68-70   ACM Private CA API、ACM Private CA CLI、ACM汎用API
71Page   Private CAデフォルトサービス上限
72Page   ACM Private CA価格

●●●資料【11_AWS CloudHSM】

15-16    AWS Key Management Service(KMS):マネージド暗号鍵管理サービス
      AWS CloudHSM:ハードウェアセキュリティモジュール(HSM)
              を使用した暗号鍵管理サービス
18Page   異なるリージョンからはCloudHSMにアクセス出来ない
      (バックアップイメージを異なるリージョンに転送して
       サービスをリストアすることは可能)
20-23     CloudHSMアーキテクチャ
23Page   CloudHSMの安全性 FIPS140-2 レベル3認証
      レベル2 : レベル1に加えて、物理的な改ざんの痕跡を残す
      レベル3 : レベル2に加えて、物理的な改ざんへの耐性を持つこと
      ※ Tamper Resistance(物理改ざんへの耐性)の要件として、
        筐体を無理やり開けようとするとデータがゼロリセットされる、
        電磁波に対する耐性、頑強な筐体などがある
24Page   CloudHSMのユースケース
       ①KMSのカスタムキーストアとして使用
       ②SSL/TLS暗号化、復号処理のオフロード
       ③CA局の秘密鍵管理
       ④Oracle DBのTransparent Data Encryption(透過型暗号)
        ※  Amazon RDS上のOracleではサポートされない
       ⑤ファイルやデータへのデジタル署名
       ⑥デジタル権限管理
       ⑦CloudHSMをサポートするサードパーティソリューションとの統合
25Page   AWS KMSカスタムキーストア機能
26Page   KMSとCloudHSMを用いたカスタムキーストアの違い

30-31    CloudHSMの管理
32-33    CloudHSM CLI実行環境の構成
34Page   CloudHSMユーザー管理:IAMとは別の管理
35-37    CloudHSMクォーラム認証:複数の認証ユーザーが承認しないと操作が出来ない
38Page   CloudHSM ClassicやオンプレミスのHSMからの鍵の移行
39-40    CloudHSMクラスター:1クラスターに最大28台のHSMインスタンスを作成可能
41-44    CloudHSMクラスター管理
      ①使用状況はCloudWatchメトリクスで把握可能
      ②クラスター間の同期
      ③クラスター間の同期
      ④バックアップ、リストア
      ⑤別リージョンへのバックアップのコピーとクラスター作成
45Page   CloudHSMのログ、監査:CloudTrail、メトリクス、クライアントログ、監査ログ

●●●資料【12_AWS Directory Service】

7-13    Active Directoryとは

14-36   Simple AD

37-53   AWS Management Consoleとの認証フェデレーション

38Page   IAM
39Page   SAML 2.0によるSSOフェデレーション
40Page   Active Directoryフェデレーションサービス(ADFS)
41Page   ADFSによるConsole Federationの動作
42Page   ADFS on AWS
43Page   AD Connectorによるフェデレーション
44-45   AD Connectorの作成
46Page   Access URLの設定 ※ 一度設定すると変更・削除はできない
47Page   AWS Management Console連携の設定
48Page   ユーザー/グループとIAMロールのマッピング
49Page   AWS Management Consoleへのシングルサインオン(SSO)
50-51   多要素認証(MFA)
52Page   MFAの設定
53Page   AD Connectorによるクロスアカウントアクセス

54-55   AWSアプリケーションとの連携、シングルサインオン(SSO)の有効化

57-66   AWS Directory Service
67-69   信頼関係の追加、管理アカウント権限、スキーマの拡張

70-71   Simple ADとの比較
72Page   AWS Directory Serviceの料金
73-74    無料利用枠、利用可能なリージョン
   

●●●資料【13_AWS Key Management Service】

13-17   AWS KMS概要
18-21   できること/できないこと、連携AWSサービス、KMS API

AWS KMSの暗号鍵管理機能

23Page   CMKの作成
24Page   AWS管理コンソールからのCMK作成
25-26     鍵のインポート:お客様所有のKMI

AWS KMSの認可・監査

28Page   Key Policy
29-30   暗号鍵のデフォルトポリシー例
31Page   Policyの評価
32-33   許可(Grants)
34-35   Encryption Context

※ CloudTrailのログに平文で出力されるため、Encryption Contextに機微情報を利用しない

36Page   Grantsの利用例 – Amazon EBSのボリュームID指定
37Page   CloudTrailによるKMSのログ集約

AWS KMSの鍵を使用した暗号化/複合化

39Page   鍵利用のAPI
40Page   AWS KMSを使用した暗号処理

※  平文のデータキーは、決してキーをディスクにおいてはならない
※  暗号化処理が終了したら即座に削除する
  (複合処理でも同様)

41Page   AWS KMSを使った複合処理
42Page   AWS KMSを利用したデータ暗号の選択肢
43Page   AWS Encryption SDK
44Page   AWS SDKを利用したClient-Side Encryption
45-46   AWSサービスでのSSE(Server-Side Encryption) with KMS

AWS KMSの暗号化詳細

50Page   AWS Key Management Service HSM
51Page   FIPS 140-2認定のポイント
52Page   AWS KMSの鍵管理 ※ HBK:CMKの鍵データ実体
53Page   CMK(カスタマーマスターキー)のライフサイクル
54Page   ローテーションの仕組み

AWS KMSのTIPS

56-57   AWS KMSのベストプラクティス ※ CMKの無効化と削除、特に削除は慎重に
58-62   AWS KMS利用TIPS∈EBS、S3、RDS
63-65   KMSのセキュリティ
66Page   KMSの料金

●●●資料【14_AWS Managed Microsoft AD】

6Page   Active Directoryの変遷
7-10    AWS Managed Microsoft AD
11-12   信頼関係の設定定(双方向)
13-17   AWS Managed Microsoft AD 初期設定
18Page   管理用サーバーにツールをインストール
19-20   MSADを管理するサーバーで確認
21-28   オンプレミス側のADを設定する
29-33   セットアップ手順 AWS Microsoft Managed AD

34Page   AWS Managed Microsoft ADで何ができるか
35Page   AWS Managed Microsoft ADでの制限事項

36Page   EC2インスタンスでActive Directoryを運用

38Page   AWSの他のディレクトリサービス

40Page   ディレクトリのモニタリング
41Page   パスワードルールはどう設定するの?
42Page   マルチリージョンの設定方法
43Page   Route53 の Private Hosted Zone の名前解決を行うには?
44Page   Office365をAWS Managed Microsoft ADでパスワード同期を使わずに使用できますか?

46Page   エディションの違い
47-48    料金

●●●資料【15_AWS Organizations】

6-8    AWS Organizationsとは
10-13   使い始める前に使い始める前に

14Page  組織を作成する
15-16   すべての機能を後から有効にする
17-20   新規アカウント
21-22   スイッチロール
23-25   既存のAWSアカウントを組織内に追加する
26-30   組織からアカウントを削除
31Page  組織単位 (OU) の作成
32-37   サービスコントロールポリシー
39Page  AWS CLIで操作

40Page  一括請求
43-47   複数AWSアカウント利用のメリット
48-49   AWS管理ユーザの管理

●●●資料【16_AWS Shield Advanced】

22-30    AWS Shieldとは
29Page   Edge POP

●●●資料【17_AWS Shield】

16Page  AWS Shieldとは
18-21   AWS Shield Standard
23-37   AWS Shield Advanced
38Page  価格(Standard Protection / Advanced Protection)

40-66   AWS Shield Advancedオペレーション
68-69   AWS WAF セキュリティ自動化をデプロイ

●●●資料【18_AWS Security Hub】

8-11  AWS Security Hub とは

13Page  AWS Security Hub を使ってみる

15-16   AWS Security Hub デプロイのポイント
17Page  マルチアカウント用スクリプトを活用する
18Page  [参考] GuardDutyのアカウント階層の活用

20Page   AWS Security Hub データの流れ
21-26   AWS セキュリティサービスとの統合
      Amazon GuardDuty
      Amazon Inspector
      Amazon Macie
      AWS IAM Access Analyzer
      AWS Firewall Manager
      AWS Systems Manager Patch Manager
32Page   AWS Certificate Manager Private CA の監視
35-38    Security Hub セキュリティ基準の有効化

40Page   対応すべき検出結果のフィルタリング
41Page   改善アクションのガイダンス

47Page   検出結果に基づいた対応
50-52    Security Hub カスタムアクション作成
53Page   [参考] サンプルカスタムアクション

59-60  コスト

●●●資料【19_AWS WAF アップデート】

7-21   Web Application Firewall (WAF)とは

23Page  AWS WAFのコンポーネント
24-31   Web ACL
32-33   ルール設定例
34Page  WAF Capacity Unit (WCU)とは
35Page  Web ACLで消費されるWCUリソース

39-41  AWS Managed Rules for AWS WAF (AMR)とは
48-61  Web ACL作成の流れ

63-68  ログとモニタリング

70-75  AWS WAF利用のための考慮事項
77-78  AWS WAFの料金

●●●資料【20_AWS WAF – OWASP Top10脆弱性緩和策 -】

SlideShare

27-53  OWASP Top10防御
33-43   プロファイル
45-53   OWASP Top10 Templete

55Page   IP Address Reputationリスト
56Page   自動化

58Page   料金
59Page   AWS WAF 制限

●●●資料【21_AWSアカウント シングルサインオンの設計と運用】

8-12   マルチアカウントのアイデンティティ管理
14Page  AWSアカウントにおけるシングルサインオン
15Page  IDフェデレーション withSAML
16-19   IDフェデレーションの構成に必要なタスク

21-30   AWS Single Sign-On(SSO)とは

32-42   シングルサインオン設計のポイント
43-46   多様な要件への対応
48-59   シングルサインオン運用のポイント
54-59   属性ベースのアクセスコントロール(ABAC)