AWS Certified Security - Specialty の勉強メモ - 6
はじめに
- 少し点がよかった
- SecretManagerとかParameterStoreとか出てくるとまよう
- あとIAMとオンプレADとのフェデレーションがわからん
間違えたところ
AWSとオンプレADの間でフェデレーションする際の考慮点
- とりあえずこれを読むしかないのだが・・・
AWSでADグループとIAMロールを作成および描写する方法を決定することは、アカウントへのアクセスを保護し、リソースを管理する方法にとって重要です。AWS環境へのSAMLアサーションとそれぞれのIAMロールアクセスは、オンプレミスADグループ名とAWS IAMロールの間の正規表現(regex)マッチングによって管理されます。
AWS Federated Authentication with Active Directory Federation Services (AD FS) | AWS Security Blog
分散システム(HPC)におけるKMS暗号化
- 理解できなかった
- 分散システムではGenerateDataKeyWithoutPlaintext APIを使ってデータキーを生成して分散システムの各コンポーネントに配布
- 各コンポーネントで暗号化されたデータキーを復号化してPlaintextのデータキーでデータを暗号化する(ようです)
KMSのCMKを削除するとき
- キーが使われていないことを確認する必要がある
- CloudTrailを使って既存のキーに対してAPIが発行されていないか確認する
- 即削除したらダメ
WAFサンドイッチ
- AWS WAFを使わないとき
- ELB - WAF - ELBの構成のこと
SecretManagerのキーローテーション
- シングルユーザローテーションだと、古いPWが削除されてから更新されたパスワードがシークレットの新しい版として利用できるまでの間にアクセスがあるとエラーが発生する可能性がある
- 対処方法
- Exponential Backoffを設定する(再試行処理をさせる)
- マルチユーザローテーションを有効にする
独自のマネージドDNSインスタンスを利用するとき
DHCP options sets - Amazon Virtual Private Cloud
CMK削除してしまったとき
- すぐには影響がでない。なぜならAWSサービスはCMKではなくデータキーを使っており処理中はメモリにあるので
- 最終的には影響がでるが、再度利用するには同じキーマテリアルをCMKに再インポートすることで復活できる
GuardDuty
- やられたらマルウェアを削除(覚えろってか。ドキュメントに書いてあることが正)
Remediating security issues discovered by GuardDuty - Amazon GuardDuty
KMS Sign API
- デジタル署名を付与できる
以上