👌
AWS SAA対策 ポイント殴り書き(IAM / S3)
IAM
- IAMユーザのデフォルト
- 何も権限が設定されていない
- ルートユーザーのみの実施権限
- AWSルートアカウントのメールアドレスやパスワードの変更
- IAMユーザーの課⾦情報へのアクセスに関するactivate/deactivate
- 他のAWSアカウントへのRoute53のドメイン登録の移⾏
- AWSサービス(サポート等)のキャンセル
- AWSアカウントの停⽌
- コンソリデイテッドビリングの設定
- 脆弱性診断フォームの提出
- 逆引きDNS申請
- 最小権限の原則
- 各ユーザーに必要な最小権限を設定したIAMポリシーを作成して、IAMグループに設定する。IAMユーザーを各IAMグループに配置する。
- Lamda → DynamoDB
- IAMロールの利用
- IAMユーザーが利用できる範囲を前もって制限
- 権限境界でIAMプリンシパルに付与する最大権限の制御
- インラインポリシー<AWS管理ポリシーの利用推奨
- 外部業者担当者への一時的な権限移譲
- IAMロール作成 → AWSリソースへの権限設定 →担当者へ付与
- アプリがHTTPS経由でアクセス
- アクセスキーのセットを作成し、アプリケーションで実行
- RDSへのアクセス時
- IAMデータベース認証
- アクセスが正常かの確認
- IAM Access Analyzer
- セキュリティ確保のためのベスプラ
- AWS アカウントのルートユーザー アクセスキーをロックする
- 個々の IAM ユーザーを作成する
- IAM ユーザーへのアクセス許可を割り当てるためにIAMグループを利用する。
- 個々のユーザーやリソースには最小特権を付与する。
- AWS 管理ポリシーを使用したアクセス許可を使用する。
- インラインポリシーではなくカスタマー管理ポリシーを使用する
- アクセスレベルを使用して、IAM アクセス許可を確認する
- ユーザーのために強度の高いパスワードポリシーを設定する。
- MFA を有効化する
- Amazon EC2 インスタンスで実行するアプリケーションに対し、ロールを使用する
- 一時的な権限付与にはロールを使用してアクセス許可を委任する
- アクセスキーを共有しない
- 認証情報を定期的にローテーションする。
- 不要な認証情報の削除
- 追加セキュリティに対するポリシー条件を使用する。
- AWS アカウントのアクティビティを監視する
- AM ベストプラクティスについてのビデオによる説明を実施する。
S3
- データ量
- 合計のオブジェクト数とデータ量は無制限
- 正し、単一オブジェクトで5TBまで
- S3 Transfer Accelerationの課金
- S3 Transfer Accelatationを利用した分の転送量に対してのみ
- WEBアプリケーションからS3データへの読み取りアクセス許可
- バケットポリシーからWebアプリURLからの参照を許可する
- バケットポリシーであらゆるユーザのs3:GetObjectを許可
- 静的ホスティング設定可能
- 期限付きのアクセス許可
- 事前署名付きURL
- S3 の共有データセットへの大規模なデータアクセス管理を簡素化
- S3アクセスポイント
- 静的ホスティング時のURL
- Route53を使用してS3静的Webサイトにトラフィックをルーティングする設定
- バケットとドメインを同じ名前に設定
- エイリアスレコードをりようドメインを設定
- 暗号化方式
- 会社独自のアルゴリズムで
- CSE
- SSE-C
- 会社独自のアルゴリズムで
- Redshift Spectrum
- S3バケット内のデータアセットに直接にクエリを実行して、ビッグデータ解析を実行
- S3バケットへのすべてのリクエストアクセスとバケットのオブジェクトレベルの操作を詳細に把握したい
- Amazon S3バケットのサーバーアクセスログを有効化
- Amazon S3バケットにCloudTrailを設定
- アップロードの高速化
- Amazon S3 Transfer Acceleration
- マルチパートアップロード
- パフォーマンス改善
- 単一のバケット内に固有のカスタムプレフィックスを作成し、それらのプレフィックス付きの日次ファイルをアップロード
Discussion