AWS Security Specialty (SCS)学習メモ
RDSスナップショットを2つのアカウントに送信し、暗号化する必要がある。各アカウントはDRイベントの場合にスナップショットを復号化する必要がある
CMK in KMSを使用してスナップショットを生成し、各アカウントで適切なKMSを持つIAMプリンシパルを使用して、KMSキーを2つのアカウントと共有する
EventBridgeイベントを使用し、現在のインフラを確認して、EC2インスタンスに関する定期的なレポートを作成する必要がある
インスタンスに対して Network Reachabilityのルールパッケージを使用して Inspectorの評価を実行する
KMSキーを使用してSecureStringタイプでSSMParameter Storeにそれらのシークレットを保存している。APIを介してシークレットにアクセスできるようにする構成手順の組み合わせは?
・Systems Manager パラメータの読み取りを許可するアクセス許可をEC2インスタンスのロールに追加する
・KMS暗号化キーの復号化を許可するアクセス許可をEC2インスタンスのロールに追加する
監査人は、各AWSアカウントの全てのAWSリソースへの読み取り専用アクセスが必要
各AWSアカウントに、全てのAWSサービスに対して読み取り専用の権限を持つIAMロールを作成する。1つの監査人IAMアカウントを作成し、割り当てられたロールを持つAWSアカウントごとに監査人がARNロールを引き受けることを許可するアクセス許可ポリシーを追加する。
ゼンリージョンのCloudTrailログをS3に集約してモニタリングしている。ログファイルは、AWS KMSを使用して暗号化されている。EC2インスタンス上でホストされているサードパーティツールを使用してログファイルを確認したい。
EC2インスタンスプロファイルが使用するロールは、S3バケットとオブジェクトへのアクセス権限を持つだけでなく、KMS CMKを使用してオブジェクトを複合化する権限も付与する必要がある。権限はEC2インスタンスプロファイルに付与されるべき
**オンプレミスのADFSとSSOを使用して認証し、AWSマネジメントコンソールにアクセスする必要がある。既存のレガシーアプリケーションをEC2インスタンスに移行した、従業員はインターネット上のどこからでもアプリケーションにアクセスする必要がある。
アプリケーションをALBの背後に配置し、ALBの認証としてAmazon Cognitoを使用する、。SAMLベースのCognitoユーザプールを定義し、ADFSに接続する。
Discussion