はじめに

AWS Certified Solutions Architect – Associate（以後、SAA）の範囲で出題されるITサービスについて、ざっくり網羅的に説明する試みです。

当記事では、数あるSAA出題範囲のなかから、セキュリティ/アイデンティティ/管理とガバナンスに絞って、解説をしていきます。

セキュリティ/アイデンティティ/管理とガバナンス以外のサービスについては、末尾の関連記事を参考にしてください。

※この記事では、概要レベルでの簡易的な解説になりますので、各項目については個別に理解を深めてください。

セキュリティ(権限)

IAM (Identity and Access Management)

サービス概要

IAMは、AWSリソースへのアクセスを安全に制御するためのサービスです。例えるなら、IAMはAWSの世界への「入館証」と「権限設定」を管理するシステムです。
誰（ユーザー、アプリケーション）が、どのAWSリソース（EC2インスタンス、S3バケットなど）に対して、何ができるか（読み取り、書き込み、削除など）を細かく設定できます。これにより、不要なアクセスを防ぎ、セキュリティを強化することができます。

関連キーワード

AdministratorAccess

AWSにおける「最強の入館証」
全てのAWSサービスとリソースへのフルアクセス権限を持つ
非常に強力なため、取り扱いには細心の注意が必要
日常的な作業には使用せず、必要最小限の権限を持つIAMユーザーやロールを使い分けることがセキュリティのベストプラクティス

SystemAdministrator

AWS管理者向けのマネージドポリシー
AWS Organizations、AWS Config、Amazon EC2 Systems Managerなど、AWS環境の管理に必要なほぼ全ての権限を含む
AdministratorAccessほど強力ではないが、やはり取り扱いには注意が必要

PowerUserAccess

開発者やパワーユーザー向けのマネージドポリシー
EC2インスタンスの作成・管理、S3バケットの作成・管理など、多くのAWSサービスを利用するための権限を含む
AdministratorAccessやSystemAdministratorと比較すると権限は制限されているが、それでも強力なポリシー

一緒に利用されるサービス

Amazon EC2: EC2インスタンスへのアクセス制御にIAMユーザーやロールを使用します。
Amazon S3: S3バケットやオブジェクトへのアクセス制御にIAMポリシーを使用します。
AWS Lambda: Lambda関数の実行ロールにIAMロールを使用し、Lambda関数がアクセスできるAWSリソースを制限します。

セキュリティ(Firewall)

AWS WAF (Web Application Firewall)

サービス概要

AWS WAFは、WebアプリケーションやAPIを悪意のある攻撃や不正アクセスから保護するためのウェブアプリケーションファイアウォール (WAF) です。WAFは、Webアプリケーションへのトラフィックを監視し、定義したルールに基づいて、悪意のあるトラフィックをブロックしたり、レート制限をかけたりすることができます。

例えるなら、WAFはWebアプリケーションの前に立つ門番のような存在です。怪しい人物（悪意のあるトラフィック）がWebアプリケーションに入ろうとすると、門番（WAF）がルールに基づいてチェックを行い、危険だと判断すれば入場を拒否します。これにより、Webアプリケーションは安全に守られます。

関連キーワード

ルール

WAFがトラフィックを評価するために使用する条件のセットです。IPアドレス、地理的位置、HTTPヘッダー、リクエスト本文などを基にルールを作成できます。

ウェブACL

ルールの集合です。複数のルールを組み合わせて、より複雑なセキュリティ要件に対応できます。

マネージドルール

AWSやAWSパートナーが提供する、一般的な攻撃パターンに対応するルールセットです。自分でルールを作成する手間を省き、すぐにWAFを有効化できます。

レートベースルール特定のIPアドレスからのリクエスト頻度を制限するルールです。ブルートフォース攻撃やDoS攻撃などを緩和できます。

AWS Shield

DDoS攻撃など、大規模な攻撃からWebアプリケーションを保護するサービスです。WAFと連携して、多層的な防御を実現できます。

一緒に利用されるサービス

Amazon CloudFront: コンテンツ配信ネットワーク（CDN）であるCloudFrontと連携することで、エッジロケーションでWAFを適用し、世界中のユーザーからのトラフィックを保護できます。
Application Load Balancer (ALB): ALBと連携することで、ALBのターゲットグループへのトラフィックをWAFで保護できます。
Amazon API Gateway: API Gatewayと連携することで、APIへのトラフィックをWAFで保護できます。

セキュリティ(脅威検出)

Amazon Inspector

サービス概要

Amazon Inspectorは、AWS環境におけるセキュリティの脆弱性を自動的に検出し、評価するサービスです。例えるなら、Amazon InspectorはAWS環境の「健康診断」を行う医師のような存在です。
Amazon Inspectorは、EC2インスタンスやコンテナイメージ、Lambda関数などを定期的にスキャンし、既知の脆弱性や設定ミス、ネットワークへの不適切なアクセスなどを検出します。検出された問題は、深刻度やリスクレベルに応じて分類され、詳細な情報と共にレポートされます。これにより、セキュリティ上の問題を早期に発見し、対応することができます。

関連キーワード

脆弱性

ソフトウェアやシステムの設計上の欠陥や不具合であり、悪意のある攻撃者に利用される可能性があります。

CVE (Common Vulnerabilities and Exposures)

脆弱性を識別するための共通の識別子です。Amazon Inspectorは、CVEデータベースを参照して脆弱性を検出します。

CIS ベンチマーク

Center for Internet Securityが策定した、セキュリティ設定のベストプラクティスです。Amazon Inspectorは、CISベンチマークに基づいた評価も行います。

ネットワーク到達可能性

インターネットや他のAWSリソースから、対象のリソースにアクセス可能かどうかを評価します。意図しないアクセスを防ぐために重要です。

セキュリティ findings

Amazon Inspectorが検出したセキュリティ上の問題です。深刻度やリスクレベル、推奨される対策などが含まれます。

一緒に利用されるサービス

Amazon EventBridge: Amazon Inspectorのセキュリティ findingsをEventBridgeに送信し、自動修復ワークフローをトリガーできます。
Amazon CloudWatch: Amazon InspectorのメトリクスをCloudWatchに送信し、セキュリティ状況を監視・可視化できます。
AWS Security Hub: Amazon Inspectorのセキュリティ findingsをSecurity Hubに集約し、他のセキュリティサービスからの情報と合わせて一元管理できます。

セキュリティ(振る舞い検知)

Amazon GuardDuty

サービス概要

Amazon GuardDutyは、AWSアカウントとリソース全体を継続的に監視し、悪意のあるアクティビティや不正な振る舞いを検出する脅威検知サービスです。AWSの様々なログ（CloudTrail、VPCフローログ、DNSログなど）を機械学習や脅威インテリジェンスと組み合わせて分析し、セキュリティ上の問題をリアルタイムに検知・通知します。
例えるなら、GuardDutyはAWS環境を見守る「番犬」のような存在です。不審な動きや侵入者をいち早く察知し、あなたに警告を発します。これにより、セキュリティインシデントを早期に発見し、被害を最小限に抑えることができます。

関連キーワード

脅威検知

悪意のあるアクティビティや不正な振る舞いを検出することです。GuardDutyは、既知の攻撃パターンや異常な振る舞い、設定ミスなどを検知します。

CloudTrail

AWSアカウントにおけるAPIコールの履歴を記録するサービスです。GuardDutyは、CloudTrailのログを分析して、不正なAPIコールや権限昇格の試みなどを検知します。

VPCフローログ

VPC内のネットワークトラフィックを記録するサービスです。GuardDutyは、VPCフローログを分析して、不正な通信やデータ漏洩などを検知します。

DNSログ

Route 53のDNSクエリログを記録するサービスです。GuardDutyは、DNSログを分析して、ドメイン乗っ取りやデータ窃取の試みなどを検知します。

セキュリティ findings

GuardDutyが検出したセキュリティ上の問題です。深刻度やタイプ、詳細情報、推奨される対策などが含まれます。

一緒に利用されるサービス

Amazon Detective: GuardDutyのセキュリティ findingsの詳細な調査を支援するサービスです。
Amazon EventBridge: GuardDutyのセキュリティ findingsをEventBridgeに送信し、自動修復ワークフローをトリガーできます。
AWS Security Hub: GuardDutyのセキュリティ findingsをSecurity Hubに集約し、他のセキュリティサービスからの情報と合わせて一元管理できます。

セキュリティ(機密データ保護)

Amazon Macie

サービス概要

Amazon Macieは、機械学習を活用して、Amazon S3に保存されている機密データを自動的に検出、分類、保護するデータセキュリティおよびデータプライバシーサービスです。機密データの発見、分類、保護を自動化し、データセキュリティリスクを可視化することで、組織のデータ保護体制を強化します。
例えるなら、MacieはS3バケットの中にいる「名探偵」のような存在です。膨大なデータの中から、クレジットカード番号や個人情報などの機密データを特定し、分類します。さらに、誰がいつどこからアクセスしたのかを監視し、不審なアクセスがあればアラートを通知します。

関連キーワード

機密データ

個人情報、クレジットカード情報、医療情報など、漏洩すると深刻な影響を与える可能性のあるデータです。

データ分類

データを機密性に基づいて分類することです。Macieは、機械学習とパターンマッチングを使用してデータを自動的に分類します。

データ保護

機密データを不正アクセスや漏洩から保護することです。Macieは、アクセス制御や暗号化などの技術を使用してデータを保護します。

セキュリティ findings

Macieが検出したセキュリティ上の問題です。機密データへの不正アクセス、公開設定されたS3バケット、機密データを含むオブジェクトの共有などがあります。

データインベントリ

S3バケット内のオブジェクトに関するメタデータ（ファイル名、サイズ、作成日時など）を収集し、可視化します。

一緒に利用されるサービス

Amazon S3: Macieは、S3バケット内のデータを分析し、機密データを検出・保護します。
AWS CloudTrail: AWSアカウントにおけるAPIコールの履歴を記録するサービスです。Macieは、CloudTrailのログを分析して、機密データへのアクセス状況を監視します。
Amazon EventBridge: Macieのセキュリティ findingsをEventBridgeに送信し、自動修復ワークフローをトリガーできます。
AWS Security Hub: Macieのセキュリティ findingsをSecurity Hubに集約し、他のセキュリティサービスからの情報と合わせて一元管理できます。

アイデンティティ

Amazon Cognito

サービス概要

Amazon Cognitoは、ウェブアプリケーションやモバイルアプリケーションにユーザーサインアップ、サインイン、アクセス制御機能を簡単に追加できるサービスです。ユーザー認証、ユーザー管理、アクセストークンの発行など、ユーザー管理に必要な機能を包括的に提供します。開発者は、Cognitoを活用することで、ユーザー管理の複雑な実装から解放され、アプリケーションのコア機能開発に集中できます。
例えるなら、CognitoはWebアプリケーションやモバイルアプリケーションの「受付」のような存在です。ユーザーがアプリを利用しようとすると、Cognitoが「受付」でユーザーを認証し、適切な「権限」を与えて入室（アプリ利用）を許可します。これにより、アプリは安全にユーザーを管理し、必要な機能へのアクセスを制御できます。

関連キーワード

ユーザープール

アプリケーションのユーザーを管理するためのディレクトリです。ユーザー名、パスワード、属性情報などを保存します。

IDプール

アプリケーションがAWSリソースにアクセスするための認証情報を取得するために使用されます。

フェデレーテッドアイデンティティ

Facebook、Google、Amazonなどのソーシャルログインや、SAML、OpenID Connectなどのエンタープライズアイデンティティプロバイダーとの連携を可能にします。

多要素認証 (MFA)

パスワードに加えて、SMSや認証アプリなどによる追加認証を要求することで、セキュリティを強化します。

アクセストークン

ユーザーが認証された後に発行されるトークンで、アプリケーションへのアクセスを許可するために使用されます。

一緒に利用されるサービス

Amazon API Gateway: API Gatewayと連携することで、APIへのアクセスをCognitoで認証・認可できます。
AWS Lambda: Lambda関数の実行をCognitoで認証・認可できます。
Amazon S3: S3バケットへのアクセスをCognitoで認証・認可できます。
Amazon DynamoDB: DynamoDBテーブルへのアクセスをCognitoで認証・認可できます。

管理とガバナンス（コンプライアンスと設定管理）

AWS Config

サービス概要

AWS Configは、AWSリソースの設定履歴を記録し、変更を監視するサービスです。AWS環境の「タイムマシン」のようなもので、過去のある時点のリソース設定や、設定変更の履歴を詳細に確認することができます。
AWS Configは、AWSリソース（EC2インスタンス、セキュリティグループ、S3バケットなど）の設定情報を定期的に記録し、設定変更が発生すると、その内容をキャプチャして保存します。これにより、セキュリティやコンプライアンスの監査、トラブルシューティング、変更管理などを効率的に行うことができます。

関連キーワード

設定履歴

AWSリソースの設定情報の変更履歴です。AWS Configは、設定変更が発生するたびに、変更前と変更後の設定情報を記録します。

コンプライアンス

組織のセキュリティポリシーや業界標準、法規制などを遵守することです。AWS Configは、設定履歴を分析して、コンプライアンス違反を検出できます。

設定ルール

AWSリソースの設定が、定義したルールに準拠しているかどうかを評価するための条件です。AWS Configは、設定ルールに基づいて、設定変更を監視し、違反を検知すると通知します。

リソース関係図

AWSリソース間の依存関係を視覚的に表示します。AWS Configは、設定履歴に基づいてリソース関係図を自動生成し、システム全体の構成を把握するのに役立ちます。

AWS Config Aggregator

複数のAWSアカウントやリージョンにまたがる設定情報を集約し、一元管理できます。大規模なAWS環境の管理に便利です。

一緒に利用されるサービス

Amazon CloudWatch Events: AWS Configの設定変更イベントをトリガーにして、Lambda関数を実行したり、SNS通知を送信したりできます。
AWS Lambda: 設定変更イベントに基づいて、自動修復や通知などのカスタムロジックを実行できます。
Amazon SNS: 設定変更やコンプライアンス違反に関する通知を、メールやSMSで受け取ることができます。
AWS Security Hub: AWS Configのセキュリティ findingsをSecurity Hubに集約し、他のセキュリティサービスからの情報と合わせて一元管理できます。

管理とガバナンス（運用管理）

AWS Systems Manager

サービス概要

AWS Systems Managerは、AWS環境における運用管理タスクを自動化し、簡素化するサービスです。例えるなら、AWS Systems Managerは、AWS環境全体を管理するための「万能ツールボックス」のようなものです。
AWS Systems Managerを使えば、OSの設定変更、ソフトウェアのインストール、パッチ適用、コマンド実行、インベントリ収集など、様々な運用管理タスクを自動化し、一元的に管理できます。これにより、手作業によるミスを減らし、運用効率を大幅に向上させることができます。

関連キーワード

Run Command

EC2インスタンスやオンプレミスサーバーに対して、コマンドやスクリプトをリモートで実行できます。

Session Manager

EC2インスタンスへの安全なリモートアクセスを提供します。SSHやRDPなどのプロトコルを使わずに、ブラウザからインスタンスに接続できます。

Parameter Store

設定情報や機密情報を安全に保存・管理できます。アプリケーションから簡単にアクセスでき、設定変更も容易です。

Patch Manager

EC2インスタンスやオンプレミスサーバーへのパッチ適用を自動化できます。セキュリティ脆弱性を軽減し、システムを最新の状態に保つのに役立ちます。

Inventory

AWSリソースの詳細な情報を収集し、一元管理できます。ソフトウェアのバージョン、設定情報、タグなどを確認できます。

一緒に利用されるサービス

Amazon EC2: Systems Managerの主要な管理対象はEC2インスタンスです。Run CommandやSession Managerを使って、EC2インスタンスを効率的に管理できます。
AWS Lambda: Systems Managerの機能をLambda関数から利用することで、イベント駆動型の自動化を実現できます。
Amazon CloudWatch: Systems ManagerのメトリクスやログをCloudWatchに送信し、運用状況を監視・可視化できます。

管理とガバナンス（プロビジョニング）

AWS CloudFormation

サービス概要

AWS CloudFormationは、AWSリソースをコードで定義し、インフラストラクチャを自動的にプロビジョニング、管理できるサービスです。まるでAWSリソースの設計図を描くように、JSONまたはYAML形式のテンプレートファイルを作成することで、EC2インスタンス、S3バケット、RDSデータベースなど、複数のAWSリソースをまとめて作成・更新・削除できます。
例えるなら、CloudFormationは、家を建てるための「設計図」のようなものです。設計図（テンプレート）に従って、大工さん（CloudFormation）が自動的に家を建ててくれます。設計図を変更すれば、家も自動的に変更され、不要になれば取り壊すこともできます。

関連キーワード

テンプレート

AWSリソースとその設定を定義するJSONまたはYAML形式のファイルです。CloudFormationはこのテンプレートに基づいてリソースをプロビジョニングします。

スタック

CloudFormationテンプレートから作成されたAWSリソースの集合です。スタック単位でリソースの作成・更新・削除を管理できます。

変更セット

スタックに加えようとしている変更内容をプレビューできます。変更内容を確認してからスタックを更新できるため、安全に変更管理を行えます。

ドリフト検出

スタックのリソースとテンプレートの定義との間に差異がないかを検出できます。意図しない設定変更を早期に発見し、対応するのに役立ちます。

スタックセット

複数のアカウントやリージョンにまたがって、同じCloudFormationテンプレートからスタックを作成・管理できます。大規模な環境でのデプロイを効率化できます。

一緒に利用されるサービス

AWS CodePipeline: CI/CDパイプラインにCloudFormationを組み込み、コード変更に基づいてインフラストラクチャを自動的に更新できます。
AWS CodeCommit/GitHub: ソースコードとCloudFormationテンプレートを一緒にバージョン管理することで、インフラストラクチャの変更履歴を追跡できます。
AWS Systems Manager Parameter Store: CloudFormationテンプレート内でParameter Storeのパラメータを参照することで、機密情報や環境固有の設定を安全に管理できます。

AWS Service Catalog

サービス概要

AWS Service Catalogは、AWS上で利用可能なITサービスのカタログを作成し、組織内で安全かつ効率的に管理・提供するためのサービスです。例えるなら、AWS Service Catalogは、AWSリソースで構成された「お弁当メニュー」のようなものです。
管理者は、事前に承認されたAWSリソース（EC2インスタンス、RDSデータベース、Lambda関数など）を組み合わせて、特定の用途に合わせた「お弁当」（ITサービス）を作成します。ユーザーは、カタログから必要な「お弁当」を選択して注文するだけで、簡単にITサービスを利用できます。

関連キーワード

ポートフォリオ

Service Catalogで管理される製品の集合です。組織全体で利用可能な製品や、特定の部門やチーム向けの製品をグループ化できます。

製品

CloudFormationテンプレートやTerraform設定ファイルなど、AWSリソースのプロビジョニング方法を定義したものです。

制約

製品に対するアクセス制御や、プロビジョニング時のパラメータの制限などを設定できます。

タグオプション

製品にタグを付けて管理できます。タグを使って製品を検索したり、コスト配分を行ったりできます。

Launch Role

製品を起動する際に使用されるIAMロールです。製品が使用するAWSリソースへのアクセス許可を制御します。

一緒に利用されるサービス

AWS CloudFormation: CloudFormationテンプレートを使用して、AWSリソースのプロビジョニングを自動化します。
AWS Organizations: Organizationsと連携することで、複数のAWSアカウントにまたがってService Catalogポートフォリオを共有できます。
AWS IAM: IAMロールとポリシーを使用して、製品へのアクセス制御や、製品が使用するAWSリソースへのアクセス許可を管理します。

管理とガバナンス（組織管理）

AWS Control Tower

サービス概要

AWS Control Towerは、AWSのマルチアカウント環境を、セキュリティとコンプライアンスを確保した状態で、簡単にセットアップし、継続的に管理するためのサービスです。AWSのベストプラクティスに基づいて、アカウント構造の設計、セキュリティガードレールの適用、アカウントのプロビジョニングなどを自動化します。
例えるなら、AWS Control Towerは、大規模な組織におけるAWSアカウント管理の「司令塔」のような存在です。司令塔（Control Tower）が、各部署（アカウント）のセキュリティやコンプライアンスを監視し、問題があれば警告を発したり、自動的に是正措置を取ったりします。これにより、組織全体で安全かつ効率的なAWS運用を実現できます。

関連キーワード

ランディングゾーン

AWS Control Towerが自動的にセットアップする、AWSのマルチアカウント環境の基盤となる構成です。セキュリティ、コンプライアンス、運用管理のためのベストプラクティスが組み込まれています。

ガードレール

AWSリソースの設定や操作に対する予防的なルールです。セキュリティやコンプライアンス違反を防ぐために、ガードレールを設定し、違反を検知すると自動的に是正措置を取ることができます。

アカウントファクトリー

新しいAWSアカウントを、事前に定義されたテンプレートに基づいて自動的にプロビジョニングできます。

ダッシュボード

組織全体のAWSアカウントの状態や、ガードレールの遵守状況を可視化できます。

AWS Organizations

AWS Control Towerは、AWS Organizationsを基盤として動作します。Organizationsを使用して、複数のAWSアカウントを階層的に管理し、請求の統合やポリシーの適用などを効率化できます。

一緒に利用されるサービス

AWS Organizations: AWS Control Towerは、Organizationsを基盤として動作します。Organizationsを使用して、複数のAWSアカウントを階層的に管理し、請求の統合やポリシーの適用などを効率化できます。
AWS Service Catalog: Service Catalogと連携することで、承認されたAWSリソースのみをプロビジョニングできるように制限し、セキュリティとコンプライアンスを強化できます。
AWS Config: AWSリソースの設定履歴を記録し、変更を監視するサービスです。Control Towerは、Configと連携して、ガードレールの遵守状況を継続的に監視し、違反を検知すると自動的に是正措置を取ることができます。