AWS Certified Security - Specialty の勉強メモ - 2
はじめに
- 今日の記録
- IAMむずい・・・IDフェデレーション絡むともうわけがわからない
- ACMも苦手・・・
メモ
GuardDutyのソース
- CloudTrail, FlowLog, DNS Logs
S3のクロスリージョンレプリケーション
- バージョニングを有効にしないと設定できない
- 設定後にアクセスできない場合
CloudFront経由でコンテンツを配信する
AWS Certificate Manager
- Private CAが作れる
- 監査レポートが作成できて、JSONでS3に吐かれる
- スコープはAWSリージョン内。グローバルで可用性担保するには、少なくとも2つのリージョンで独立した複数のCAを作成する必要がある
ELBのServerName Indication
- SNIを利用することでスマートセレクションによる複数のTLS証明書をサポートできる
ACM の証明書
オンプレのIDPとの統合
Webフェデレーションのセッション機関
- IAMで有効期限を設定する
- AssumeRoleWithWebIdentityAPIでDurationSecondsを増やす
Parameter Store
- SecretManagerと違ってローテートはない
- 無料
- 平文
AWS Glue
Cloud HSM
- CloudHSMは単一AZにあるので可用性を高めたければクラスタを組む必要がある
AWSのデータ削除ポリシー
- 基本的にEBSとかをデタッチして削除したらAWS側でボリュームを削除する。ユーザ側ではアクション不要
SSHキーをなくしたとき
Amazon EC2 Windows インスタンスの紛失したキーペアを置き換える Amazon EC2 key pairs and Linux instances - Amazon Elastic Compute Cloud
AWS WebIDフェデレーションで使用可能なキー
- aws FederatedProvider
- ????頭がついていかない・・・
IAM and AWS STS condition context keys - AWS Identity and Access Management