AWSコアサービス4
AWS責任共有モデル
セキュリティに対してAWSとユーザーとで責任分界して対応する責任共有モデルとなっている。
【ユーザー側の責任範囲】
・構築したアプリケーション
・ユーザーアクセス、ロールベースのアクセス
・ユーザーが利用するAWSサービス
【AWS側の責任範囲】
・AWSインフラストラクチャ(ハードウェア、ソフトウェア、ネットワーク)
・AWSデータセンター
◾️ユーザー側でやるべきセキュリティ対応
セキュリティに対してAWSとユーザーとで責任分界して対応する責任共有モデルとなっている。
・IAMによるアカウント管理 / パスワードルールの設定
・セキュリティグループの設定など適切なネットワーク設定やトラフィック保護
・構築したアプリケーションのセキュリティ対応
・ネットワーク / インスタンスオペレーションシステム(バッチ)などの設定
責任共有モデルの統制範囲
セキュリティに対してAWSとユーザーとで責任分界して対応する責任共有モデルとなっている。
◾️継承される統制
→ユーザーがAWSから完全に継承する統制
物理統制と環境統制がある
◾️共有統制
・バッチ管理
→AWSがインフラストラクチャの不具合に対するパッチ適用および
修復に責任を負うが、ユーザーはゲストOSおよびアプリケーションの
パッチ適用に責任を負う
・構成管理
ユーザーは独自のゲストオペレーティングシステム、データベース、
アプリケーションの構成に責任を負う
・意識とトレーニング
ユーザーの従業員のトレーニングはユーザーが実施する
◾️ユーザー固有の統制
→AWSサービスにデプロイするアプリケーションに基づいて、
ユーザーが全ての責任を負う統制
データをルーティングまたは区分する必要があるサービスおよび
データ通信の保護またはゾーンセキュリティなど
IAMの概要
AWS Identity and Access Management(IAM)は安全にAWS操作を実施するための認証・認可の仕組み。
・AWS利用者認証の実施
・アクセスポリシーの設定
・ユーザー個人またはグループ毎に設定
主要トピック
IAMの主要トピックはユーザー、グループに加えてポリシーとロールの4つ。
ユーザー
・ルートユーザー
・IAMユーザー
ルートユーザー
最初に作成されるのがルートユーザーであり、通常の管理には利用しないアカウント。
・AWSアカウント作成時に作られるIDアカウント
・全てのAWSサービスとリソースを使用できる権限を有するユーザー
・日常的なタスクはルートユーザーを使用しないことが強く推奨される
※パワーユーザーはIAMユーザーやグループの管理以外の全てのAWSサービスにフルアクセス権限を有するユーザーで別のもの。
ルートユーザーにしかできない操作権限が存在する。
【ルートユーザーのみの実施権限】
・AWSルートアカウントのメールアドレスやパスワードの変更
・IAMユーザーの課金情報へのアクセスに関するactivate / deactivate
・他のAWSアカウントへのRoute53のドメイン登録の移行
・CloudFrontのキーペアの作成
・AWSサービス(サポート等)のキャンセル
・AWSアカウントの停止
・コンソリデイテッドビリングの設定
・脆弱性診断フォームの提出
・逆引きDNS申請
IAMユーザー
IAMポリシー内でAWSサービスを利用できるユーザー。
基本操作はIAMユーザーで実施することになる。
IAMポリシー
IAMポリシーを作成してユーザーなどへのアクセス権限を付与(JSON形式の文書)
◾️管理ポリシー
・AWS管理ポリシー
→AWSが作成および管理する管理ポリシー
・カスタム管理ポリシー
→AWSアカウントで作成・管理する管理ポリシー
同じポリシーを複数のIAMエンティティにアタッチできる
◾️インラインポリシー
・自身で作成および管理するポリシー
→1つのプリンシパルエンティティ
(ユーザー、グループ、またはロール)に埋め込まれた
固有ポリシーで、プリンシパルエンティティに
アタッチすることができる
IAMポリシーはJSON形式で設定される。
・Effect
Allow → 許可
Deny → 拒否
・Action
対象のAWSサービス
例:s3:Get
・Resource
対象のAWSリソース
ARNで記述
・Condition
アクセス制御が有効となる条件
ユーザーベースとリソースベースのポリシー適用がある。
IAMロール
AWSリソースに対してアクセス権限をロールとして付与できる。
ユーザーのアクティビティの記録
・Access AdvisorのService Last Accessed Data
→IAMエンティティ(ユーザー、グループ、ロール)が
最後にAWSサービスにアクセスした日付と時刻を表示する機能
・Credential Report
→利用日時などが記録されたIAM認証情報に係るレポートファイル
・AWS Config
→IAMのUser、Group、Role、Policyに関して変更履歴、
構成変更を管理・確認することができる機能
・AWS CloudTrail
→AWSインフラストラクチャ全体でアカウントアクティビティを
ログに記録し、継続的に監視し、保持することができる機能
アクセス権限の一時付与
一時的なアクセス権限の付与を可能にする。
・AWS Security Token Service(STS)
→動的にIAMユーザーを作り、一時的に利用するトークンを発行するサービス
・Temporary Security Credentials
→AWSに対して一時的な認証情報を作成する仕組み
IAMとAWS Organizations
IAMはAWSアカウント内のユーザー管理を実施。
Organizationsは複数のAWSアカウント自体の管理を実施。
AWS Organizations
AWS OrganizationsはIAMのアクセス管理を大きな組織でも楽に実施できるようにするマネージド型サービス。
・複数のアカウントの一元管理
→AWSアカウントをグループ化してポリシーを適用して一元的に管理する
・新規アカウント作成の自動化
→コンソール / SDK / CLIでAWSアカウントを新規作成して、
作成内容をログ管理できる
・一括請求
→複数AWSアカウントの請求を一括化する
組織という単位を構成して、マスターアカウントがメンバーアカウントを管理するという仕組み。
CloudTrailの概要
AWS CloudTrail
AWSユーザの操作(API操作やユーザのサインインアクティビティ)をロギングするサービス。
・ルートアカウント / IAMユーザのオペレーションをトラッキングして
ログを取得するサービス
・CloudTrailログファイルは暗号化されてS3に保存
・KMSによる暗号化もサポート
・無料
ユーザとアクセスとAPIコールのログ情報をS3バケットに保存し、CloudWatch上で解析できる。
マルチアカウントで利用可能で、複数AWSアカウントの情報を集約可能。
CloudWatchの概要
AWSリソースとAWSで実行するアプリケーションのモニタリングサービスで、様々なログやメトリクスを監視できる。
・CloudWatch(メトリクス監視)
→AWS上で稼働するシステム監視サービスで、死活監視、性能監視、
キャパシティ監視を実施
有料枠では確認内容や設定の柔軟性が充実化する
・CloudWatchLogs
→CloudWatchと連動したログ管理プラットフォームサービス
EC2上のOS・アプリケーションのログやAWSマネージドサービスの
ログを取得する
・CloudWatchEvents
→CloudWatchはAWSリソースに対するイベントをトリガーに
アクションを実行
オペレーションの変更に応答し、応答メッセージ送信、
機能のアクティブ化
変更、状態情報収集による修正アクションを実行する
データを取得・表示・アクションの実行までを集中管理。
CloudWatchメトリクスを利用して、多くのメトリクスを取得することが可能。
◾️標準メトリクス
・CPUUtilization / ディスク利用率 / 読み込みIOPSなど
一般的なメトリクスの多くが取得可能
・5分間隔でのメトリクス取得
◾️カスタムメトリクス(拡張モニタリング実行時)
・標準では取得できないメトリクス
・1秒から60秒でのリアルタイムでのメトリクス取得
必要なRDSのメトリクスを選択してダッシュボードで可視化することが可能。