AWSの薄い本を読んだ（IAM＆セキュリティ）

AWSの薄い本をいただき、年末年始で読んだので感想を投稿してみます。
いやー、AWSって奥が深いですね。
https://twitter.com/dkfj/status/1332882806020575235

1冊目：AWS IAMのマニアックな話

https://www.amazon.co.jp/AWSの薄い本-IAMのマニアックな話-佐々木拓郎-ebook/dp/B085PZCMG2

AWSのセキュリティ事故の原因はだいたいIAM？！そんなIAMの基本原則を学べる、AWSを利用するなら誰もが読んでおくべき本です。キャピタルワンの具体的なのセキュリティ事故事例もあり、多段で対策を行うことが大事であるとあらためて認識しました。

コラムも面白く、特に下記は特にわかりみが深いです😂

Q. EC2権限の中になぜネットワーク操作系の権限が含まれているのか？
A. 初期のAWSにはVPC機能がなかったため。先を見通して設計するのはAWSですら難しい。我々も設計に悩みすぎずポジティブに捉えていこう。

コラム：EC2の権限範囲の問題 より

私の失敗談をお話すると、カスタムポリシーを要件毎に作りひとつのIAMロールにアタッチしていった結果アタッチ数上限に達し、以降のポリシー追加はインラインポリシーで対応していく羽目になったことがあります。新しいサービスを利用し始める時はサービスの制限ページを確認することをおすすめします。
IAM および STS クォータ - AWS Identity and Access Management

こちらの CloudFormation のコラムも激しく同意です😭

• 全てのAWSリソースを CloudFormation で管理しようとしない
• 1つの CloudFormation で完結させようとしない
• 変更頻度・利用者が違うものを一緒に管理しない

コラム：ライフサイクルで考える より

こればかりは経験しかないと思います。作り込みすぎず（そもそも作り込みすぎると周りのメンバーが理解できません）実際に手を動かしてリソース間の関係を体感していくしかないです。
幸いにも約1年前に既存リソースをCFnスタックに取り込む機能が登場したので、悩みすぎずポジティブに行きましょう！
CloudFormationがリソースのインポートに対応しました！ | Developers.IO

2冊目：アカウントセキュリティのベーシックセオリー

https://www.amazon.co.jp/AWSの薄い本Ⅱ-アカウントセキュリティのベーシックセオリー-佐々木拓郎-ebook/dp/B08F3BVSJQ

ガードレールという考え方（アジリティ・セキュリティ・コンプライアンスのバランスを考慮した考え方）をベースにAWSアカウントを管理する方法が解説されています。マルチアカウントを前提に解説いただけるのは本当にありがたいです。対象読者としては、AWSを趣味で利用している人というよりは組織に務めているシステム管理者やインフラエンジニアかと思います。

読みながら思ったことを箇条書きにしました。（雑ですいません

• セキュリティ関連のAWSサービスが多数で大変
  （セキュリティ関連サービスは案外利用コストがかかるため、なぜ使うのかを理解する必要があり。まずは本書を読むことをおすすめします）
• SecurityHub、DetectiveあたりのセットアップもOrganizaton（StackSets）で標準管理できるようにしてほしい。一応下記のようなAWS作成の管理スクリプトはある
  aws-securityhub-multiaccount-scripts
  amazon-detective-multiaccount-scripts
• 有事の際にすぐ分析できるよう、CloudTrailのAthenaテーブルは作っておいたほうがよさそう（準備しておくべきことは色々ある。奥が深い。。）
• 最近登場したAWS Network Firewallが気になる
  VPC 向け AWS マネージドファイアウォールサービス「AWS Network Firewall」がリリースされました

おまけ

AWSの各種セキュリティ関連サービスの詳しい説明はこちらの公式Youtube動画を見るといいかも
https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-service-cut/

AWSの各種セキュリティ関連サービスを活用した、異常の検知や対応のイメージはこちらの動画がわかりやすいかも
https://www.youtube.com/watch?v=nDkd3fmVAKs