AWS入門の記録（５４）

　今まで、先輩に借りた資格試験テキスト、AWS 公式ドキュメント、Udemy ハンズオンで学習していたのですが、新しい武器を手に入れました！

学習１ AWS認定　クラウドプラクティショナー　模擬問題集 Kindle 版

　昨日、「クラウド未経験の情シスが二週間でAWS Cloud Practitionerに受かった話」 を拝読して、「AWS認定　クラウドプラクティショナー　模擬問題集 Kindle版」の存在を知りました。初版は 2019 年11月11日、第2版は2021年6月20日！！！なんと絶妙なタイミング！！！早速昨日から、ちょっとした空き時間に問題を解いています。通勤途中にも読めるので、電子版買ってよかった！って思いました。紙の本には紙の本の良さもあり、電子版と両方使うのが自分には合っていると感じます。模擬試験問題集なので、週末に時間を計測して時間内に解けるか試してみる予定です。

学習２ AWS認定資格試験テキストAWS認定クラウドプラクティショナー

　こちらは、紙の本です。昨日は、「第３章 AWS のセキュリティ」に入ったところで終わったので、続きを学習します。昨日は、クラウド本体のセキュリティについて掘り下げたので、今日はユーザーがセキュリティの責任をもつ範囲について学習します。

・ID とパスワードの管理（権限が強いアカウントには MFA を設定して、さらにセキュリティを強化するもよし）
・キーペアは、なくさないように注意する。
・API キーは、ユーザーが必要最小限の権限を付与し、ルートアカウントのAPI キーは作成しない。ルートアカウントの API キーが盗まれたら、攻撃者のやりたい放題になるので、ダメ、ゼッタイ。
・マネージドでない AWS サービスでは、ユーザーが操作できる部分はオンプレミスのシステムと同様にユーザーに責任がある。
・マネージドなサービスのプラットフォーム部分は AWS の責任
・プラットフォーム上のデータやアプリケーション、サービスにアクセスするためのアクセスコントロール設定とアカウント認証情報の保護はユーザーの責任。

ユーザーが責任を負う部分は、オンプレミス環境と同様にセキュリティのベストプラクティスに従うということですね。これは、当たり前なんだけど、いろいろ親切なサービスだと、自分の責任範囲を忘れてしまいがちです。

・転送中のデータの保護には、適切なプロトコルの選択と、暗号化アルゴリズムを選択する。
・蓄積データの保護には、コンプライアンス要件に従った保存データの暗号化。
・AWS 資格情報保護には、適切なユーザーの作成と必要最小限の権限設定。ルートユーザーだけで運用するのはダメ、ゼッタイ。
・アプリケーションの安全性の確保のために、既知の攻撃への対策と脆弱性診断、脆弱性情報の更新とアプリケーションの改善。

AWS が用意してくれている暗号化オプションなども利用して、適切な管理と運用ができれば良いですね。

今日は、ここまで。続きは、またあした（の予定）