責任共有モデル

責任共有モデル | AWS

• お客様: クラウド内のセキュリティ
• AWS: クラウドのセキュリティ

AWS Identity and Access Management (IAM)

AWS IAM（ユーザーアクセスと暗号化キーの管理）| AWS

• AWS のサービスやリソースへのアクセスを安全に管理

• IAM ユーザー
  • お客様が AWS 内に作成する ID で、AWS のサービスやリソースを操作するユーザーやアプリケーションを表す
  • 名前と認証情報で構成

• IAM ポリシー
  • AWS のサービスとリソースへのアクセスを許可または拒否するドキュメント

• IAM グループ
  • IAM ユーザーの集合
  • IAM ポリシーをグループに割り当てると、グループ内のすべてのユーザーに、ポリシーで指定されたアクセス許可が付与

• IAM ロール
  • アクセス許可を一時的に利用するために引き受けることができるアイデンティティ（時間を指定）
  • ユーザにはロールを切り替えできる権限が必要

• 多要素認証(MFA)

AWS Organizations

AWS Organizations（AWS アカウント全体の一元管理）| AWS

• 複数の AWS アカウントを一元的に統合および管理

• サービスコントロールポリシー (SCP)
  • 組織内のアカウントのアクセス許可を一元的に制御
  • 各アカウントのユーザーとロールがアクセスする AWS のサービス、リソース、個々の API アクションを制限

• 組織単位 (OU)
  • 同じようなビジネス要件やセキュリティ要件を持つアカウントの管理

AWS Artifact

AWS Artifact（コンプライアンスレポートへのオンデマンドアクセス）| AWS

• AWS のセキュリティおよびコンプライアンスレポートのオンデマンドでの利用と、特定のオンライン契約を提供するサービス

• AWS Artifact Agreements
  • 個別のアカウントと AWS Organizations のすべてのアカウントにおいて契約の確認、受諾、管理を行う
• AWS Artifact Reports
  • サードパーティーの監査人からのコンプライアンスレポートを提供

• カスタマーコンプライアンスセンター
  • コンプライアンスに関する重要な質問に対する AWS の回答
  • AWS リスクとコンプライアンスの概要
  • セキュリティ監査チェックリスト

AWS Shield

AWS Shield（マネージド型の DDoS 保護）| AWS

• DDoS 攻撃からアプリケーションを保護するサービス

• AWS Shield Standard
  • すべての AWS のお客様を無料で自動的に保護
• AWS Shield Advanced
  • 詳細な攻撃診断と、高度な DDoS 攻撃の検出および緩和機能を提供する有料サービス

AWS Key Management Service (AWS KMS)

AWS Key Management Service（マネージド型の暗号化キー作成と管理）| AWS

• 暗号化キーを使用して暗号化オペレーションを実行

AWS WAF

AWS WAF（ウェブアプリケーションファイアウォール）| AWS

• ウェブアプリケーションに入ってくるネットワークリクエストをモニタリングするウェブアプリケーションファイアウォール
• Amazon CloudFront および Application Load Balancer と連動
• ウェブアクセスコントロールリスト (ACL) を使用して AWS リソースを保護

Amazon Inspector

Amazon Inspector（アプリのセキュリティとコンプライアンスの改善をサポート）| AWS

• 自動化されたセキュリティ評価を実行して、アプリケーションのセキュリティとコンプライアンスを改善
• セキュリティの脆弱性やセキュリティのベストプラクティスからの逸脱を検出

Amazon GuardDuty

Amazon GuardDuty（マネージド型脅威検出サービス）| AWS

• AWS インフラストラクチャとリソースのインテリジェントな脅威検出を提供するサービス