元情シス部員の頑張るIT

元情シスで現コンサルでもうすぐ転職。少しは使えるようになりました。

AWS Certified Security - Specialty の勉強メモ - 6

はじめに

  • 少し点がよかった
  • SecretManagerとかParameterStoreとか出てくるとまよう
  • あとIAMとオンプレADとのフェデレーションがわからん

間違えたところ

AWSとオンプレADの間でフェデレーションする際の考慮点

  • とりあえずこれを読むしかないのだが・・・

AWSでADグループとIAMロールを作成および描写する方法を決定することは、アカウントへのアクセスを保護し、リソースを管理する方法にとって重要です。AWS環境へのSAMLアサーションとそれぞれのIAMロールアクセスは、オンプレミスADグループ名とAWS IAMロールの間の正規表現regex)マッチングによって管理されます。

AWS Federated Authentication with Active Directory Federation Services (AD FS) | AWS Security Blog

分散システム(HPC)におけるKMS暗号化

  • 理解できなかった
  • 分散システムではGenerateDataKeyWithoutPlaintext APIを使ってデータキーを生成して分散システムの各コンポーネントに配布
  • コンポーネントで暗号化されたデータキーを復号化してPlaintextのデータキーでデータを暗号化する(ようです)

KMSのCMKを削除するとき

  • キーが使われていないことを確認する必要がある
  • CloudTrailを使って既存のキーに対してAPIが発行されていないか確認する
  • 即削除したらダメ

WAFサンドイッチ

  • AWS WAFを使わないとき
  • ELB - WAF - ELBの構成のこと

SecretManagerのキーローテーション

  • シングルユーザローテーションだと、古いPWが削除されてから更新されたパスワードがシークレットの新しい版として利用できるまでの間にアクセスがあるとエラーが発生する可能性がある
  • 対処方法
    • Exponential Backoffを設定する(再試行処理をさせる)
    • マルチユーザローテーションを有効にする

独自のマネージドDNSインスタンスを利用するとき

  • DHCPオプションセットを作成して、既存のものを置き換える
  • VPCレベルで処理(サブネットレベルではない)

DHCP options sets - Amazon Virtual Private Cloud

CMK削除してしまったとき

  • すぐには影響がでない。なぜならAWSサービスはCMKではなくデータキーを使っており処理中はメモリにあるので
  • 最終的には影響がでるが、再度利用するには同じキーマテリアルをCMKに再インポートすることで復活できる

GuardDuty

  • やられたらマルウェアを削除(覚えろってか。ドキュメントに書いてあることが正)

Remediating security issues discovered by GuardDuty - Amazon GuardDuty

KMS Sign API

以上