★ SAA 第08章 セキュリティサービス

単語カード

設定全面表示

• セキュリティとコンプライアンスにおいて、AWSが責任を担う部分と、利用者が責任を担う部分の境界線の定義

  責任共有モデル
• 暗号化や復号化に用いる暗号鍵の作成と管理を行うサービス（2つ）

  AWS Key Management Service
  
  AWS CloudHSM
• KMSとCloudHSMの違い（4つ）

  KMSのほうが安い
  
  CloudHSMは専有のハードウェアを利用する
  
  CloudHSMは秒間100以上の暗号化リクエストをさばける
  
  CloudHSMは公開鍵暗号化方式も利用できる
• KMSで、データを暗号化するAPI

  Encrypt
• KMSで、データを復号化するAPI

  Decrypt
• KMSで、データキーを作成するAPI

  GenerateDataKey
• KMSキーとデータキーを用いて暗号化する仕組み

  エンベロープ暗号化
  
  データキーでそれぞれのデータを暗号化し、データキーをKMSキーで暗号化する
• ユーザ側がAWS SDKを利用して暗号化する方式

  クライアント暗号化
  S3など一部のサービスで利用できる
• サービス側が暗号化する方式

  サーバー暗号化
• 自分で認証局を立てて発行したサーバー証明書

  自己証明書
• ドメインの所有のみを認証するサーバ証明書

  DV
• 組織情報の審査を得てから認証するサーバ証明書

  OV
• OVよりも厳格な審査で認証するサーバ証明書

  EV
• AWS自身が認証局となって、RSA鍵やサーバ証明書の作成と管理を行うサービス

  AWS Certificate Manager
• 複数にAWSアカウントに関するセキュリティを一元管理するためのサービス

  AWS Security Hub
• 外部からの攻撃について検出や継続的なモニタリングを行うサービス

  Amazon GuardDuty
• S3に保存されているデータから機密データを検出して保護するサービス

  Amazon Macie
• EC2やLambdaなどを解析し、脆弱性が含まれていいないかを診断するサービス

  Amazon Inspector
• 認証情報やAPIキーを管理するサービス（2つ）

  AWS Secrets Manager
  
  AWS System ManagerのParameter Store
• Secret ManagerとParameter Storeの違い（2つ）

  Parameter Storeは無料
  
  Parameter Storeは単位時間あたりのAPI呼び出し回数に制限がある
• DDoS攻撃からシステムを保護するサービス

  AWS Shield
• 無料版のAWS Shield

  AWS Shield Standard
• 有料版のAWS Shield

  AWS Shield Advanced
• XSSやSQLインジェクションなどの攻撃を防いだり、IPアドレスなどをもとにアクセスを制限することができる、Webアプリケーションのシステムを保護するサービス

  AWS WAF
• AWS WAFで設定するルール

  Web ACL

広告

コメント