要点整理から攻略する『AWS認定 セキュリティ-専門知識』
NRIネットコム株式会社(著)
,佐々木拓郎(著)
,上野史瑛(著)
,小林恭平(著)
/Compass Booksシリーズ
作品情報
※この商品はタブレットなど大きいディスプレイを備えた端末で読むことに適しています。また、文字だけを拡大することや、文字列のハイライト、検索、辞書の参照、引用などの機能が使用できません。
合格に必要な知識はここにある!
本書は「AWS認定 セキュリティ」対策用の受験対策テキストです。
「AWS認定 セキュリティ」は最低2年間のAWSのワークロード保護に関する実務経験を持つセキュリティ担当者を対象とした認定試験です。
金融業やエンタープライズには必須となりつつある認定を、豊富な経験と知識を持った著者陣が、合格するために必要な知識をわかりやすく解説しています。また、問題の解き方も丁寧に解説し、試験に取り組む際のテクニックも学べます。
練習問題で総仕上げも行えるので、受検者必携の一冊です。
※2023年7月11日にセキュリティ認定試験が新しいバージョンSCS-C02となる予定です。本書は旧バージョンであるSCS-C01に対応しています。
第1章 AWS試験概要と学習方法
第2章 IDおよびアクセス管理
第3章 インフラストラクチャのセキュリティ
第4章 データ保護
第5章 ログと監視
第6章 インシデント対応
第7章 AWS Well-Architected
第8章 練習問題
※この商品は固定レイアウト型の電子書籍です。
※この商品はタブレットなど大きいディスプレイを備えた端末で読むことに適しています。また、文字列のハイライトや検索、辞書の参照、引用などの機能が使用できません。
※お使いの端末で無料サンプルをお試しいただいた上でのご購入をお願いいたします。
※本書内容はカラーで制作されているため、カラー表示可能な端末での閲覧を推奨いたします
もっとみる
商品情報
- 著者
- NRIネットコム株式会社, 佐々木拓郎, 上野史瑛, 小林恭平
- ジャンル
- コンピュータ・情報 - コンピュータ・インターネット
- 出版社
- マイナビ出版
- 掲載誌・レーベル
- Compass Booksシリーズ
- 書籍発売日
- 2020.07.29
- Reader Store発売日
- 2020.08.07
- ファイルサイズ
- 98.1MB
- ページ数
- 320ページ
以下の製品には非対応です
※この商品はタブレットなど大きなディスプレイを備えた機器で読むことに適しています。
文字だけを拡大することや、文字列のハイライト、検索、辞書の参照、引用などの機能が使用できません。
この作品のレビュー
平均 4.0 (2件のレビュー)
-
セキュリティに関するaws製品を網羅的に、さっと知るための本。
試験対策としての効果はあまり高くなく、試験に入るにあたって読む、製品の概要を知るために読むという利用用途が万能になる。
投稿日:2022.10.22
ざっと理解したい人向け
ーーーー
IAMロール
・stsして一時的なアクセスキーをもらう
→sts:assumeRoleが必要
・「誰がそのロールを呼び出せるか」を定義するのがprincipal。…ロールはユーザにつける物ではないのでロールのポリシー側で何から呼び出せるか定義しないとどこからでも呼び出しができてしまう。
・権限の移譲を管理するのが信頼関係
・パーミッションバウンダリで制御できるのはIAMユーザのみ。SCPならルートとロールも制御
ルートユーザしかできない操作
・ルートユーザの設定変更
・請求先変更
・サポートプラン変更
・アカウント停止
アクセスキー管理
git-secretsや環境変数で使う。プログラムへのハードコードしない
アクセスアナライザー
・外部からの信頼関係を検出できる
・実際にアクセスがあったかではなく設定を見る
ADコネクタ
・使い方は二つ。既存ADを認証プロキシとして使うか、双方向の推移的信頼関係を結ぶか。前者の場合オンプレへの問い合わせレイテンシーがある
・NW経路はVPNや専用線
コグニト
・認証後、一時的なクレデンシャルを前提にIAMロールで権限がつく
・認証前後やサインアップ前などにラムダで独自処理実施可能
最小権限とは、、
・awsベスプラ読もう
・ロールにaction:*:やresourse*がついているのは過剰 p63
WAF
・マケプレでベンダのマネージドルールを購入可能
・ユーザ定義ルールも作成可能
・WCU WAFキャパシティユニット
・特定httpヘッダが含まれてなければアクセ拒否というルールを作れる
シールド
・アドバンスド→専用チームに対策を任せられる
・スタンダードは
Firewallマネージャー
・WAF,シールド,SGを一括管理.
・自動生成されたリソースにFWマネージャでのポリシーを提供できる
・AWS Configルールが自動生成される
RDS
・フェールオーバー,位置情報,レイテンシー,複数地回答,加重ルーティング
・複数値回答RTは1レコードに複数値を設定し,応答も複数個の結果を回答可能.
ヘルスチェックと組み合わせ健常な向け先リストを返すことができる
・トラフィックフロー:ルーティング状況を可視化してくれる
CLoudFront
・オリジン側でCFからの接続しか受け付けないようにするための方法
ーカスタムヘッダーを挿入(カスタムヘッダの機密性保持が前提)
ーCFのIPアドレスを指定
ー★SecurityGroupでCFのManaged Prefix Listを許可設定ー>この本出版時とベスプラが変わっているので注意
https://aws.amazon.com/jp/blogs/news/limit-access-to-your-origins-using-the-aws-managed-prefix-list-for-amazon-cloudfront/
・S3への限定的アクセスも可能.クッキー使用型orURL埋め込み型
ELB
・ALBはIPアドレスが動的→DNSでALBの指定が必要
・NLB→静的IPが付与される
・ALB→SG利用可能. NLB→SG利用不可能
セキュリティグループ
・特定のセキュリティグループを接続元に設定できる
・「同じ通信要件を持つインスタンスのグループ」と解釈すべし→p109
NW-ACL
・サブネットごとに指定
Artifact
・AWSが取得している認証などを管理
・顧客との契約の管理 HIPPAのBAAなど
KMS
・鍵は3種類:AWS所有,AWS管理,ユーザ管理
・APIの一つのEncryptはあまり使わない.通常データ暗号化にはGenerateDateKeyを使う
*CMKは作成リージョン内でしか使えない.CDKを別リージョンで使う場合,持ち出したCDKは持ち出し先リージョンのCMKで暗号化が必要.その時にEncryptを使用する
・マルチ〜リージョンキーが作成できるようになった
・AWS管理CMKは「/aws/xxxx」エイリヤス.3年ローテ.
・手動ローテーション:新しいCMKを自分で作ること.1年ローテ老犬がっ満たせない場合などに.(エイリアスは共通なので使い勝手はかわらない)
・BYOK(キーマテリアルの外部持ち込み)の場合…自動ローテできない
EBS
・暗号化EBSがリージョンをまたぐコピーは一手間かかる.KMSが越境できないから
・平文EBSを暗号化するには暗号化したスナップショットを作成してアタッチするしかない
RDS
・暗号化をONにするとログ,バックアップ,スナップショット,リードレプリカも暗号化される
・JDBCのような通常のDB接続方法のほか,IAMユーザ・IAMロールを用いた接続も可能.(特定ポリシー付与が必要.またRDSリソースにも有効化設定が必要)
・作成時に暗号化を指定してないRDSの暗号化はEBSと同様,スナップショットを撮る必要がある
DynamoDB
・必ず暗号化される.デフォルトはAWS所有KMS
・DAXは作成時に暗号化するかどうかを決定
・アクセス認証はポリシーアタッチのみ.(JDBCのような個別認証情報は持たない
S3
・アクセス制御方法は3つ.IAM,バケットポリシー,ACL
・バケットポリシーは20kbというサイズ制限あり
・ACLはバケットACLとオブジェクトACLと2種類あり
・ボールトロック:長期アーカイブ用.一度作成したらポリシー含め編集不可能.完了前であればAbortできる
VPCエンドポイント
・インターネット経由で接続するS3などのリージョンサービスにVPC内リンクを構成
AWS Config
・EC2サーバなどを管理するには「マネージドインスタンス」としてSystems Managerと連携する.
CloudTrail
・データイベント,インサイトイベントは明示的にOnにする必要あり
X-Ray
・アプリケーションを構成するサービスのマッピングや発生するリクエストを収集,分析
・EC2,ECS,ラムダ,Beakstalk(Webアプリの実行環境を自動生成)が対象
Inspector
・NW到達せいと脆弱性をチェック.NW到達性だけであればエージェント不要
・特定タグを持つEC2のみ検査対象にすることができる
Athena
・テーブルや列名といったメタデータはGlueのデータカタログにもたせる
Vpcフローログ
・HTTPパケットの中身は不明.送信元,送信先
QuickSIght
・マネージド型BIツール
・棒グラフや折れ線などにより可視化
・Athena,Aurora, S3, Redshiftm MySQL, PostgresQLなどサポート
・S3でとったログをAthenaでクエリ検索し結果をQuickSightで可視化といった使い方
Kinesis
・FIrehoseやAnalytycsはラムダで前処理可能
OpenSearch
・インスタンスタイプ,インスタンス数,DBタイプといったクラスタを”ドメイン”とよぶ
・サーバレスサービスもあり
2022年、AWS KMSはAWS管理鍵のローテーションスケジュールを3年ごと(約1,095日)から1年ごと(約365日)に変更した。
クラウドトレイルの証跡情報
DNS変更はDHCPオプションセットで行う VPC作成時にセット
ADグループはIAMロールと紐付け
Firehose+OpenSearch
AssumeRole権限+リソース指定+信頼関係
s3デフォルト暗号化(AWS管理キー)に対するkms権限は不要
プライベートリンクとピアリングの使い分け
KMS:データキーキャッシュ機能
SNSサブスクに有効期限はない。サブスク解除に注意
S3 署名付きURL→オブジェクトが一つに限定。クッキーはファイル群
KMS→EBSアタッチ中はEC2のメモリにデータキーが残ってる
続きを読む投稿日:2024.02.12
新刊自動購入は、今後配信となるシリーズの最新刊を毎号自動的にお届けするサービスです。
- ・発売と同時にすぐにお手元のデバイスに追加!
- ・買い逃すことがありません!
- ・いつでも解約ができるから安心!
※新刊自動購入の対象となるコンテンツは、次回配信分からとなります。現在発売中の最新号を含め、既刊の号は含まれません。ご契約はページ右の「新刊自動購入を始める」からお手続きください。
※ご契約をいただくと、このシリーズのコンテンツを配信する都度、毎回決済となります。配信されるコンテンツによって発売日・金額が異なる場合があります。ご契約中は自動的に販売を継続します。
不定期に刊行される「増刊号」「特別号」等も、自動購入の対象に含まれますのでご了承ください。(シリーズ名が異なるものは対象となりません)
※再開の見込みの立たない休刊、廃刊、出版社やReader Store側の事由で契約を終了させていただくことがあります。
※My Sony IDを削除すると新刊自動購入は解約となります。
お支払方法:クレジットカードのみ
解約方法:マイページの「予約・新刊自動購入設定」より、随時解約可能です続巻自動購入は、今後配信となるシリーズの最新刊を毎号自動的にお届けするサービスです。
- ・発売と同時にすぐにお手元のデバイスに追加!
- ・買い逃すことがありません!
- ・いつでも解約ができるから安心!
- ・優待ポイントが2倍になるおトクなキャンペーン実施中!
※続巻自動購入の対象となるコンテンツは、次回配信分からとなります。現在発売中の最新巻を含め、既刊の巻は含まれません。ご契約はページ右の「続巻自動購入を始める」からお手続きください。
※ご契約をいただくと、このシリーズのコンテンツを配信する都度、毎回決済となります。配信されるコンテンツによって発売日・金額が異なる場合があります。ご契約中は自動的に販売を継続します。
不定期に刊行される特別号等も自動購入の対象に含まれる場合がありますのでご了承ください。(シリーズ名が異なるものは対象となりません)
※再開の見込みの立たない休刊、廃刊、出版社やReader Store側の事由で契約を終了させていただくことがあります。
※My Sony IDを削除すると続巻自動購入は解約となります。
お支払方法:クレジットカードのみ
解約方法:マイページの「予約自動購入設定」より、随時解約可能ですReader Store BOOK GIFT とは
ご家族、ご友人などに電子書籍をギフトとしてプレゼントすることができる機能です。
贈りたい本を「プレゼントする」のボタンからご購入頂き、お受け取り用のリンクをメールなどでお知らせするだけでOK!
ぜひお誕生日のお祝いや、おすすめしたい本をプレゼントしてみてください。※ギフトのお受け取り期限はご購入後6ヶ月となります。お受け取りされないまま期限を過ぎた場合、お受け取りや払い戻しはできませんのでご注意ください。
※お受け取りになる方がすでに同じ本をお持ちの場合でも払い戻しはできません。
※ギフトのお受け取りにはサインアップ(無料)が必要です。
※ご自身の本棚の本を贈ることはできません。
※ポイント、クーポンの利用はできません。クーポンコード登録
Reader Storeをご利用のお客様へ
ご利用ありがとうございます!
エラー(エラーコード: )
ご協力ありがとうございました
参考にさせていただきます。