★ SAA 第08章 セキュリティサービス
暗記
-
セキュリティとコンプライアンスにおいて、AWSが責任を担う部分と、利用者が責任を担う部分の境界線の定義
責任共有モデル
-
暗号化や復号化に用いる暗号鍵の作成と管理を行うサービス(2つ)
AWS Key Management Service
AWS CloudHSM
-
KMSとCloudHSMの違い(4つ)
KMSのほうが安い
CloudHSMは専有のハードウェアを利用する
CloudHSMは秒間100以上の暗号化リクエストをさばける
CloudHSMは公開鍵暗号化方式も利用できる
-
KMSで、データを暗号化するAPI
Encrypt
-
KMSで、データを復号化するAPI
Decrypt
-
KMSで、データキーを作成するAPI
GenerateDataKey
-
KMSキーとデータキーを用いて暗号化する仕組み
エンベロープ暗号化
データキーでそれぞれのデータを暗号化し、データキーをKMSキーで暗号化する
-
ユーザ側がAWS SDKを利用して暗号化する方式
クライアント暗号化
S3など一部のサービスで利用できる
-
サービス側が暗号化する方式
サーバー暗号化
-
自分で認証局を立てて発行したサーバー証明書
自己証明書
-
ドメインの所有のみを認証するサーバ証明書
DV
-
組織情報の審査を得てから認証するサーバ証明書
OV
-
OVよりも厳格な審査で認証するサーバ証明書
EV
-
AWS自身が認証局となって、RSA鍵やサーバ証明書の作成と管理を行うサービス
AWS Certificate Manager
-
複数にAWSアカウントに関するセキュリティを一元管理するためのサービス
AWS Security Hub
-
外部からの攻撃について検出や継続的なモニタリングを行うサービス
Amazon GuardDuty
-
S3に保存されているデータから機密データを検出して保護するサービス
Amazon Macie
-
EC2やLambdaなどを解析し、脆弱性が含まれていいないかを診断するサービス
Amazon Inspector
-
認証情報やAPIキーを管理するサービス(2つ)
AWS Secrets Manager
AWS System ManagerのParameter Store
-
Secret ManagerとParameter Storeの違い(2つ)
Parameter Storeは無料
Parameter Storeは単位時間あたりのAPI呼び出し回数に制限がある
-
DDoS攻撃からシステムを保護するサービス
AWS Shield
-
無料版のAWS Shield
AWS Shield Standard
-
有料版のAWS Shield
AWS Shield Advanced
-
XSSやSQLインジェクションなどの攻撃を防いだり、IPアドレスなどをもとにアクセスを制限することができる、Webアプリケーションのシステムを保護するサービス
AWS WAF
-
AWS WAFで設定するルール
Web ACL
-
