・AWSクラウドの概念とその価値提案に関する説明

・AWSクラウドエコノミクスの特徴と説明

・多種多様なクラウドアーキテクチャの設定原理の定義

・AWSの責任共有モデルについての理解

・AWSセキュリティとコンプライアンスについてのコンセプトの理解

・AWSアクセス管理機能の特定

・セキュリティサポートのリソースの特定

・AWSクラウドのデプロイと運用の方法についての理解

・AWSのグローバルインストラクチャについての理解

・AWSの主要サービスの識別

・テクノロジーサポートのリソースを特定

・AWSの様々な料金モデルの比較対照

・AWS請求と料金に関連した多様なアカウント構造の認識

・請求サポートに利用できるリソースの特定

AWSは、クラウドのセキュリティ面について重視する組織の要件を満たすように構築されたデータセンターだけでなく、さまざまなセキュリティサービスや機能を提供しています。

前回は、責任共有モデルについて学んだのですが、内容について復習していきたいと思います。

IAMユーザーは、AWSの利用者ごとに作成される認証情報（ID）です。

AWSで操作できる範囲は、IAMポリシーによって定められます。


ルートユーザー（管理者アカウント）は、最初に登録したメールアドレスのアカウントで、フルアクセス権限をもっています。

請求情報の閲覧やパスワードの変更も可能です。

mazon Inspectorの前提知識として脆弱性診断について知っておきましょう。

脆弱性診断とは、ネットワーク・OS・ミドルウェアやWebアプリケーションなどに脆弱性がないか診断することです。

セキュリティの現状を確認することで、悪意のある攻撃者からの攻撃や情報漏洩事故などを防ぐことができます。


Amazon Inspectorは、セキュリティとコンプライアンスを向上させるために、AmazonEC2、AWS Lambda 関数、Amazon ECRなどのAWSワークロードにおける脆弱性診断を安価で自動で行ってくれるサービスになります。

自動的に、利用しているEC2インスタンスを評価し、結果リストはAmazon Inspectorに表示されます。


評価内容は2種類あって、ネットワーク到達可能性の評価、ホスト評価があります。

具体的には、外部からの攻撃を受けていないか、インスタンス自体に脆弱性がないかパッチの確認をしたりしています。

IAMユーザーの管理を簡素化するためのグルーピングです。

IAMユーザーをIAMグループに所属させて、ＩＡＭグループとして必要なIAMポリシーを付与させることで、付与漏れなどのミス防止になります。

IAMロールは、AWSアカウント内のIAMユーザーやIAMグループには権限付与できません。

それ以外へ権限付与する際に利用するサービスになります。


IAMロールを利用して権限付与する対象例

・AWSリソース（EC2、Lambdaなど）
　…具体的には、EC2 でS3の操作が必要な場合、EC2にS3へのアクセス権限をIAMで付与するなど

・別AWSアカウントのIAMユーザー

・Active Directoryのユーザー

・別サービス（GoogleやFacebookなど）のアカウント

https://uniuni-diary.com/aws-iam/

IAMポリシーは、IAMユーザー、IAMグループ、IAMロールに付与する権限の制御を管理することです。

具体的には、誰・何に対して、どのような操作を、許可or拒否、を示したものです。

AWSリソースへのアクセス管理をおこなっています。


例：IAMポリシー①：EC2の起動を許可

　　IAMポリシー②：S3の設定を許可

　　IAMポリシー③：IAM４ユーザーの作成を拒否

セキュリティグループとは、VPC（AWSネットワーク）上で通信制御をするファイアウォールのことです。


ファイアウォールとは外部からの不正アクセスの侵入や、社内ネットワークから許可されてない外部へのアクセスをできないようにする役目をしています。


また、グループという名の通り、一つのセキュリティグループを複数のインスタンスに適用することができます。

許可したい通信のみセキュリティグループに設定するようにしましょう。

WAFとは、Web Application Firewallの略で、Webアプリケーションに特化したファイアウォールです。


AWS WAFは、AWSが提供しているWAFのことをいい、CloudFront、ALB、API Gatewayなどへのアクセスを制御することができます。

AWS WAFはWeb ACL内にルールを作成して通信の許可や拒否を判別しています。

※Web ACL…通信リクエストを内包するルールのことです。

Web ACL：5ドル/月

ルール：1ドル/月　一つにつき1ドルの利用料がかかります。

リクエスト数：0.6ドル/100万

まず、DDoS攻撃を理解しよう。

DDoS攻撃とは、Distributed Denial of Service Attackの略で、攻撃者が複数の機器を踏み台にして、特定のサーバーなどに一斉に攻撃してくることをいいます。

もし攻撃を受けると、サーバーがダウンしてしまうこともあります。

AWS Shieldとは、マネージド型サービスでDDoS攻撃からWebアプリケーションを保護するサービスのことです。

スタンダードプランとアドバンスドプランの2種類があります。

・スタンダードプラン

AWSを利用すると自動的に無料で設定されます

L3（ネットワーク層）、L4（トランスポート層）を保護します。

DDoS攻撃の履歴を参照したり、レポート化することはできません

・アドバンスドプラン

有料です。

インフラストラクチャ（L3およびL4）に加えて、アプリケーションレイヤー（L7）のおけるDDoS攻撃を保護します。

24時間365日の専門サポート、DDoS攻撃の履歴を参照したりレポート化も可能です。

AWSを始めるにはアカウントが必要になります。

1つのアカウントですべての環境構築をするのか、VPCで環境を分けて構築するのか、もしくはアカウントごとに分けて構築するかにパターン分けされていて、規模や構成によって設計構築しましょう。

インフラ設計をするうえでコードネームを決めましょう。

プロダクトに対してコードネームを統一して決めておくことで管理がラクになります。

ルートアカウントは先ほどの内容でも出てきたように、AWSアカウント内のリソースすべてにアクセスが可能なアカウントです。

AWS運用中は基本的にはIAMアカウントを利用しましょう。

運用前にルートアカウントでMFAを有効にして不正利用を防ぎましょう。

AWS運用するにあたってAWSが公開しているベストプラクティスについて知っておきましょう。

AWS上で適切なアーキテクチャ設計をするための「設計原則」をまとめたものがベストプラクティスになります。


AWSはこのベストプラクティスを「AWS Well-Architected フレームワーク」と呼んでいます。


ベストプラクティスの概要は、

①運用の優秀性（オペレーショナルエクセレンス）

②セキュリティ

③信頼性

④パフォーマンス効率

⑤コスト最適化

⑥持続可能性

の6つの観点で構成されています。

①スケーラビリティを確保する

②環境を自動化する

③使い捨て可能なリソースを使用する

④コンポーネントを疎結合する

⑤サーバーではなくサービスで設計する

⑥適切なデータベースソリューションを選択する

⑦単一障害をなくす

⑧コストを最適化する

⑨キャッシュを使用する

⑩すべてのレイヤーでセキュリティを確保する