AWS Certified Security - Specialty の勉強メモ -1
はじめに
- 今日もちゃんと勉強をしている
- 間違えたところを主に
- ようやくWhizlabsで80%超えてきた
メモ
Bucket Plicyの優先順位
- 拒否権限は許可を上書きする
All Denyのポリシーを作ったら特定ユーザを許可してもアクセスできない
参考URL qiita.com
CloudWatch
Cloudwatchアラームを使って自動的にインスタンスを回復するように設定できる
- Recover this instance
- Stop this instance
- terminate this instance
- Reboot This instance
Lambda を使って自動復旧するもんだと思っていたらそうでもなかった。
Cognito と OIDC
- よくわからん・・・誰かOIDCを教えて
特定のAWS Organizationsユーザのみからアクセスを許可するためのS3バケットポリシー
- 勘で正解したが、aws:PrincipalOrgIDが含まれていることが条件
Cloud TrailでOrganization
- マスターアカウントのユーザでCloud TrailをOrganizationに適用することでOU配下のすべてのアカウントのすべてのリージョンで有効になる
Amazon AIP Gateway Lambda Authorizer
Third PartyにAWSリソースへのアクセス許可を与える
セキュリティグループの変更を監視する
- CloudWatch イベントからLambdaで修正
インラインポリシー
- 基本的に使わない?
bastion ホスト
- ど忘れ・・・パブリックサブネットに置く。Private Subnetへアクセスする
- どうやら最近は展開してくれるCloud Formationが提供されている模様
お作法
- これもど忘れ・・・root アクセスキーを削除する
セキュリティグループ
- 許可はできるが拒否はできない
AWSでのパケットキャプチャ
- プロミスキャスモードは使えないのでThird Partyのツールを持ってくる
S3でサーバ側暗号化
- オブジェクトごとに異なる暗号化キーを使うことができる(SSE-Cのとき)