元情シス部員の頑張るIT

元情シスで現コンサルでもうすぐ転職。少しは使えるようになりました。

AWS Certified Security - Specialty の勉強メモ - 2

はじめに

  • 今日の記録
  • IAMむずい・・・IDフェデレーション絡むともうわけがわからない
  • ACMも苦手・・・

メモ

GuardDutyのソース

  • CloudTrail, FlowLog, DNS Logs

S3のクロスリージョンレプリケーション

  • バージョニングを有効にしないと設定できない
  • 設定後にアクセスできない場合
    • 宛先のバケットバケットポリシーでソースバケットの所有者がオブジェクトを複製できるようにする
    • ソースオブジェクトの所有者は、ソースオブジェクトへのフルアクセス権限を持っていること

CloudFront経由でコンテンツを配信する

  • 署名付きURL
    • 基本的にはこちら
    • RTMPの場合は必ずこっち
  • 署名付きCookie
    • HLS形式の動画ファイルなどはこちら
  • S3の署名付きURLとは違う

AWS Certificate Manager

  • Private CAが作れる
  • 監査レポートが作成できて、JSONでS3に吐かれる
  • スコープはAWSリージョン内。グローバルで可用性担保するには、少なくとも2つのリージョンで独立した複数のCAを作成する必要がある

ELBのServerName Indication

  • SNIを利用することでスマートセレクションによる複数のTLS証明書をサポートできる

aws.amazon.com

ACM の証明書

  • リージョン感でコピーはできない
  • リージョン間で同じ証明書を使いたい場合には、US-east-1リージョン(バージニア北部)で証明書をリクエストまたはインポートする必要がある

オンプレのIDPとの統合

Webフェデレーションのセッション機関

  • IAMで有効期限を設定する
  • AssumeRoleWithWebIdentityAPIでDurationSecondsを増やす

Parameter Store

  • SecretManagerと違ってローテートはない
  • 無料
  • 平文

AWS Glue

Cloud HSM

  • CloudHSMは単一AZにあるので可用性を高めたければクラスタを組む必要がある

AWSのデータ削除ポリシー

  • 基本的にEBSとかをデタッチして削除したらAWS側でボリュームを削除する。ユーザ側ではアクション不要

SSHキーをなくしたとき

Amazon EC2 Windows インスタンスの紛失したキーペアを置き換える Amazon EC2 key pairs and Linux instances - Amazon Elastic Compute Cloud

AWS WebIDフェデレーションで使用可能なキー

  • aws FederatedProvider
  • ????頭がついていかない・・・

IAM and AWS STS condition context keys - AWS Identity and Access Management