AWS勉強中

AWSの勉強アカウントです。solution architect associate …

AWS勉強中

AWSの勉強アカウントです。solution architect associate 取得済。 現在security specialtyの取得を目指して奮闘中。

Linuxインスタンスのプライベートキーを紛失したとき

EBS-backedインスタンスのプライベートキーを無くした場合は、インスタンスへのアクセス権を復活出来る。 手順は 1. 新しいキーペアを作成する 2. Rootボリュームを別のインスタンスに割り当てる 3. authorized_keysファイルに新しいパブリックキーを追加する 4. Rootボリュームを元のインスタンスに再割り当てする。 ※ルートデバイスがインスタンスストアボリュームの場合、この手順を使用してインスタンスへのアクセスを回復することはできない。

AWS勉強中

    • CMKの自動ローテーション周期

      カスタマー管理のCMKについてオプションで自動キーローテーションを有効化することが出来る。ローテーションの周期は1年毎で決まっており、他の周期でローテーションを行う場合は、手動ローテーションを行う必要がある。 なお、AWS管理のCMKについてはローテーション周期は3年毎となっており、変更することは出来ない。

      AWS勉強中

      • S3バケットのデフォルト暗号化を有効にする

        S3バケットにアップロードするデータをデフォルトで暗号化するように設定できる。 1. AWSマネジメントコンソールでS3コンソールにアクセスする。 2. 対象のバケットを選択する。 3. プロパティ→デフォルト暗号化を選択する。 4. (1) S3が管理するキーを利用する場合→AES-256を選択     (2) カスタマーCMKを使う場合→AWS-KMSを選択

        AWS勉強中

        • Amazon S3 条件キー

          IAMポリシーでAmazon S3 条件キーを用いたルールを作成することで、S3オブジェクトに対するアクセスポリシーを指定することが出来る。 例1. オブジェクトアップロード時に暗号化を必須とする →s3:x-amz-server-side-encryption 条件キーをリクエストに含める場合のみ、"Action": "s3:PutObject"を許可する。 例2. オブジェクトアップロード時にバケット所有者へのフルアクセス権付与を必須とする →"s3:x-amz-

          AWS勉強中

        Linuxインスタンスのプライベートキーを紛失したとき

        AWS勉強中

          DHCPオプションセット

          VPCの中で起動するEC2インスタンスについてのDHCP動作を指定するため、DHCPオプションセットを作成し、VPCに関連付けることが出来る。DHCPオプションセットでは、利用するDNSサーバやドメイン名、NTPサーバを指定することが出来る。 [注意点] 一度作ったDHCPオプションセットは変更出来ない。変更したい新たに作成し、VPCにそれを関連付け直す必要がある。 [参考URL] https://docs.aws.amazon.com/vpc/latest/user

          AWS勉強中

          DHCPオプションセット

          AWS勉強中

          AWS Configカスタムルール

          AWS Config カスタムルールを利用して、AWSリソースのリソース変更時にルールに準拠しているかをチェックすることが出来る。 例として、各 EC2 インスタンスが t2.micro タイプであるかどうかを評価する場合を考える。 Lambda関数の作成AWS Configで実行するLambda関数を作成する。config-rule-change-triggeredのテンプレートを利用すると便利。 AWS Configの設定カスタムルールの追加を行い、作成したLamb

          AWS勉強中

          AWS Configカスタムルール

          AWS勉強中

          Amazon Cognitoで未認証のユーザを認証させる

          Amazon Cognito とはAmazon Cognitoはウェブアプリケーションやモバイルアプリケーションの認証・許可・ユーザ管理に利用できる。 Amazon Cognitoには「ユーザプール」と「IDプール」という主なコンポーネントがあります。 ・ユーザプール:Amazon Cognitoのユーザディレクトリ。サインアップ及びサインインサービスや、サインインのためのWebUI、サードパーティーのIdPでのサインインをサポート。 ・IDプール:ユーザが一時的なAW

          AWS勉強中

          Amazon Cognitoで未認証のユーザを認証させる

          AWS勉強中

          ソーシャルIDプロバイダの設定方法

          Amazon cognitoを使ってソーシャルIDプロバイダを設定する方法まとめ。(超ざっくり) ソーシャルIDプロバイダとはFacebook、Google、Amazon、Apple などのソーシャルサインインを提供するプロバイダのこと。 1. ソーシャルIDに登録するまず上記のプロバイダに利用するアプリケーションを登録する必要がある。そして、クライアントIDとクライアントシークレットを取得する。(後で使う) 2.ユーザープールにソーシャルIDを追加するAmazon C

          AWS勉強中

          ソーシャルIDプロバイダの設定方法

          AWS勉強中

          AWSアカウントの認証情報

          アカウントの全てのユーザとユーザの各種認証情報のステータスが含まれるレポートを作成出来る。AWSマネジメントコンソールなどから生成出来る。 必要なアクセス許可レポートを作成するには「GenerateCredentialReport」、レポートをダウンロードするには「GetCredentialReport」のアクセス許可が必要。 レポートフォーマットCSVで以下の情報が生成される。書き出すとけっこう多い。。AWS Config では取得出来ないような、アカウントのIAMユー

          AWS勉強中

          AWSアカウントの認証情報

          AWS勉強中

          AWS Systems Manager パラメータストア

          AWS Systems Manager パラメータストアとは AWS Systems Manager パラメータストアは、パスワードなどの機密情報を安全に保管するために利用できる。保管されるデータはパラメータ値と呼ばれ、KMSを利用して暗号化、復号される。 暗号化、復号パラメータを作成するときまたは変更するときに、KMSのCMK(カスタマーマスターキー)で暗号化され、アクセス時にCMKを利用して復号される。CMKは、パラメータストアがアカウント用に作成するAWS管理のCMK

          AWS勉強中

          AWS Systems Manager パラメータストア

          AWS勉強中

          AWS Certificate Manager

          AWS Certificate Manager(ACM)はSSL/TLS証明書を発行して、管理してくれるサービスです。パブリック証明書もプライベート証明書も発行できます。これにより、ELB等のAWSサービスに簡単に証明書をインポートすることが出来、自動で更新も可能となります。 使い方AWSのマネジメントコンソールから、AWS Certificate Managerを選択して利用します。 パブリック証明書リクエストの流れは下記の通りです。 1. 証明書のFQDNを決める.

          AWS勉強中

          AWS Certificate Manager

          AWS勉強中

          ALBとCLBの違い

          Application Load Balancer(ALB)とClassic Load Balancer(CLB)の違いをまとめます。 ALBの特徴Application Load BalancerはL7レイヤーでの振り分け処理に特化したLBです。HTTPヘッダーをベースにした柔軟な振り分け処理が可能です。 CLBの特徴Classicの名の通りALBより昔から用意されたLBです。L4レイヤーでの振り分け処理が行えるため、HTTP/HTTPS以外の振り分けに利用できます。

          AWS勉強中

          ALBとCLBの違い

          AWS勉強中

          Amazon Athenaについて

          Amazon Athenaは標準SQLを利用して、S3上のデータの直接分析を簡易的に行えるサービスです。データの形式は、csv、JSONなどが使えます。Amazon Quick Sightとの統合で、データ簡単に可視化することも出来ます。 活用例Cloud Trail ログのクエリをAthenaで分析することで、AWSサービスのアクティビティ分析が強化されます。(クライアントIPやユーザなどの分析) 他にも、CloudFrontのログやVPCフローログのクエリなど分析でき

          AWS勉強中

          Amazon Athenaについて

          AWS勉強中

          EC2インスタンスが感染した場合

          AWS上のEC2インスタンスがウイルス感染してしまった場合に、実施すべき対処をまとめます。 なお、ウイルス感染してしまったことをAWSが検知した場合は、AWSから利用者のe-mailアドレスに警告メールが届くようです。。 参考:以下資料のp.48 https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf 1. インスタンスをシャットダウン感染したインスタンスが他のAWSリ

          AWS勉強中

          EC2インスタンスが感染した場合

          AWS勉強中

          IAMユーザのアクセスキー

          実はあまりよくわかっていなかったですが、AWSのCLIやAPIでログインする際に利用するものです。「アクセスキー」と「シークレットアクセスキー」の二つで構成されます。 どうやって取得するかAWS のマネジメントコンソールからログインして、「セキュリティ認証情報」をクリックし、アクセスキーの作成をクリックすればそのユーザのアクセスキーがダウンロードできます。 流出するとAWSに無制限にアクセス出来てしまうため、管理には細心の注意を 同じコンソールから作成したアクセスキーの

          AWS勉強中

          IAMユーザのアクセスキー

          AWS勉強中

          AWS security specialty振り返り

          試験結果が出た。さてさてスコアはどれくらいだったのか。前回よりは伸びてるだろうな。。 受験者スコア:615 前回と全く変わっていない!! これはちょっとへこみました。解けたと思ってた問題も引っかかって間違えていたのかも。※ちなみに合格には750点必要です。 続いてセクションごとの到達度について 分野 1: インシデント対応 12% 再学習の必要あり 分野 2: ログと監視 20% 再学習の必要あり 分野 3: インフラストラクチャのセキュリティ 26% 再学習の必要

          AWS勉強中

          AWS security specialty振り返り

          AWS勉強中