第5週-1件のセキュリティサービス
AWSを使う3つの方法
1.管理コンソールを使用したリソースの作成
起動しやすい
反復タスクXに適合
長い時間がかかった
2.コード形式のコマンド式インフラストラクチャ:コマンド式コマンドラインインターフェース(CLI)
重複タスクに適しています
必要な項目の変更を簡略化
リソースの準備が困難
問題が発生した場合のリカバリが困難
3.コードとしての宣言インフラストラクチャ:AWS CloudFormationテンプレート、HashCorp Configuration Language(HCL)
自動化が容易
重複タスクに適しています
エラーが発生した場合に元に戻すのは簡単です
初期実装が複雑
4.DOMモデルに基づくクラウド開発キット(AWS CDK)
熟知した開発言語を用いて作成する
単一の作成者に基づいて大量のAWSリソースを作成
ジェネレータは、各スタックを単純なクラスに整理します.
まだ宣言されていますが、作成と更新を処理する必要はありません.
最終API:すべてのメソッドが最終的にAWSリソースを使用するか、アプリケーションプログラミングインターフェース(API)を最終的に使用します.
AWSの共有責任モデル
どんな環境を使ってもAWS IAMが必要で、管理主体と書籍はお客様です.
AWS IAM(Identify and Access Management)
AWS全体の権限制御システム=>認証*+認証**
認証:あなたは誰ですか.真相を究明せよ!(Identity)
仁娜:権限はありますか.(Access Management)
IAMユーザーとIAMグループ
IAMグループの目的は、同一の権限を有するIAMユーザに対する権限の設定を容易にするためであり、IAMグループはセキュリティ主体として機能しない
IAMユーザーは最大10グループまで
AWS IAMポリシーのJSON構造
IAMポリシーAWSサービスとリソースライセンスの提供
IAMは、定義したポリシーに基づいてAWSリクエストをチェック/評価し、最終的に許可または禁止を決定します.
IAM advanced
AWSアカウントのアクティビティの監視と確認
Before:従来のRBACメソッド-個別の権限管理操作を行う必要がある
ABCA : Attribute Based Access Control
IAMセキュリティマスターの要素(attribute,ラベル)を使用して、異なるリソースの再利用可能なアクセスを単一のポリシーで制御
After:認証可能なセキュリティマスタータグとリソースタグのマッチング->動的認証機能
Key take away
すべてのAPIとAWSユーザーにとって、IAMは避けられない宿命である.
IAM認証と承認
ポリシーの構造とタイプ
IAMの運営はベストプラクティスに合っている.
Beyond IAM、ワークロードセキュリティ
参考資料:AFOS[2期]活動内容
1.管理コンソールを使用したリソースの作成
起動しやすい
反復タスクXに適合
長い時間がかかった
2.コード形式のコマンド式インフラストラクチャ:コマンド式コマンドラインインターフェース(CLI)
重複タスクに適しています
必要な項目の変更を簡略化
リソースの準備が困難
問題が発生した場合のリカバリが困難
3.コードとしての宣言インフラストラクチャ:AWS CloudFormationテンプレート、HashCorp Configuration Language(HCL)
自動化が容易
重複タスクに適しています
エラーが発生した場合に元に戻すのは簡単です
初期実装が複雑
4.DOMモデルに基づくクラウド開発キット(AWS CDK)
熟知した開発言語を用いて作成する
単一の作成者に基づいて大量のAWSリソースを作成
ジェネレータは、各スタックを単純なクラスに整理します.
まだ宣言されていますが、作成と更新を処理する必要はありません.
最終API:すべてのメソッドが最終的にAWSリソースを使用するか、アプリケーションプログラミングインターフェース(API)を最終的に使用します.
AWSの共有責任モデル
どんな環境を使ってもAWS IAMが必要で、管理主体と書籍はお客様です.
AWS IAM(Identify and Access Management)
AWS全体の権限制御システム=>認証*+認証**
認証:あなたは誰ですか.真相を究明せよ!(Identity)
仁娜:権限はありますか.(Access Management)
IAMユーザーとIAMグループ
IAMグループの目的は、同一の権限を有するIAMユーザに対する権限の設定を容易にするためであり、IAMグループはセキュリティ主体として機能しない
IAMユーザーは最大10グループまで
AWS IAMポリシーのJSON構造
IAMポリシーAWSサービスとリソースライセンスの提供
IAMは、定義したポリシーに基づいてAWSリクエストをチェック/評価し、最終的に許可または禁止を決定します.
IAM advanced
AWSアカウントのアクティビティの監視と確認
AWS CloudTrail - API 로깅, 감사 활동의 핵심
AWS IAM Access analyzer - 외부 엔터티와 공유되는 리소스 식별
Amazon GuardDuty - 위협탐지 서비스
AWS Security Hub - 통합 대쉬보드Before:従来のRBACメソッド-個別の権限管理操作を行う必要がある
ABCA : Attribute Based Access Control
IAMセキュリティマスターの要素(attribute,ラベル)を使用して、異なるリソースの再利用可能なアクセスを単一のポリシーで制御
After:認証可能なセキュリティマスタータグとリソースタグのマッチング->動的認証機能
Key take away
すべてのAPIとAWSユーザーにとって、IAMは避けられない宿命である.
IAM認証と承認
ポリシーの構造とタイプ
IAMの運営はベストプラクティスに合っている.
Beyond IAM、ワークロードセキュリティ
参考資料:AFOS[2期]活動内容
Reference
この問題について(第5週-1件のセキュリティサービス), 我々は、より多くの情報をここで見つけました https://velog.io/@icebear2n2/5주차-1-보안-서비스テキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol