はじめに

• 今日は問題集解くのを一回やめる
• 弱いと思われる箇所を一通り基礎から勉強してみる
• 書くのが面倒になったので途中まで・・・

試験の前提知識

• AWS のセキュリティはNIST CSFに当てはめて考えるのがいい https://d1.awsstatic.com/whitepapers/compliance/JP_Whitepapers/NIST_Cybersecurity_Framework_CSF_JP.pdf
• 特定・防御・検知・対応・復旧の全てのフェーズに対する解決策がAWS には用意されている（はず）
• 特に重視される要素
  • データの保護と、暗号化、通信経路の保護
  • ここの出題範囲も比較的多い
• 配分としては、以下の通り
  • インフラストラクチャのセキュリティ 26%
  • ID及びアクセス管理 20%
  • データ保護 22%

重要なサービス

IAM

• IAMユーザ、ポリシー、ロール、グループのそれぞれの使い方を理解する。
• Action, Resource, Effectの使い分け
• IAMロールのPrincipal（信頼関係）は誰がそのロールを利用できるか指定する
• ルートユーザはMFA、アクセスキーをロックする→基本使わないでAdmin権限を持つIAMユーザを払い出す
• インラインポリシー
  • 一時的に個別のユーザへの権限付与の際のみで使うとか
• カスタマー管理ポリシー
  • 基本はこちらでなんとかする
• Permissions Boundaryによる境界設定
• IAMアクセスアナライザー
  • S3バケット、IAMロール、KMSキー、Lambda、SQSに関して外部のAWSリソースに対して共有しているリソースを検出する
  • あくまで今の状態を確認する。もし監査ログ的な用途が必要な場合はCloud Trailが必要
• このZennは大変参考になった

zenn.dev

AWS Directory Service

• AWS Managed Microsoft AD
• Simple AD
• AD Connector
• AWS ロールを既存のオンプレミスのADに紐付け
• SAML/OIDCプロバイダを設定することができる

KMS

S3

VPC

CloudWatch