≪3章．AWSのセキュリティ≫

＜3-1.AWSの責任共有モデル＞
・AWSはクラウド本体に、ユーザーはクラウド内部に、セキュリティの責任を持つ

・AWS：ハードウェアやインフラ内（リージョン、AZ、エッジロケーション）、マネージメントサービス

・ユーザー：ゲストOS、アプリ、セキュリティ、通常サービス

＜3-2.AWSクラウドのセキュリティ＞
・AWS側
　・物理的（データセンター内外）
　・ハイパーバイザー（仮想化を実現）
　・マネージドサービス

・ユーザー側
　・管理プレーン（ID、パスワード、ルートアカウント、キーペア、APIキー）
　・非マネージドサービス

・ベストプラクティスの例
　・転送データは暗号化する
　・蓄積データも暗号化する
　・AWS資格情報はルートアカウントとIAMユーザーを使い分ける
　・アプリケーションの安全はInspector（後述）が行う

＜3-3.IAM＞
・サインアップ時のアカウント：ルートアカウント

・アクセス管理サービスを使ったIAMグループとIAMユーザー

・IAMロールでIAMリソース（EC2やLambda）に権限付与

＜3-4.セキュリティグループ＞
・インスタンスごとのトラフィックを制御する仮想ファイアウォール

＜3-5.AWS ShieldとAWS WAF＞

・Shield：DDoS攻撃（分散サービス妨害）から保護
　・無償：Standard
　・有償：Advanced

・WAF：脆弱性からWebアプリケーションを保護

＜3-6.Inspector＞
・脆弱性診断を自動で行うサービス（セキュリティ認証など）

・PCI DSS：クレジットカード業界の情報セキュリティ基準

・Artifact：コンプライアンスレポートにオンデマンドでアクセス
　※第三者認証についてもレポート

＜EX＞
・Amazon Inspector：セキュリティとコンプライアンスを向上させるためのレポートを作成

・AWS Shield：DDoS攻撃に対する保護サービス

・WAFが適応可能：Cloud Front、Application Load Barancer、API Gateway

・アプリケーションとDBインスタンス間の接続の暗号化はユーザーの責任範囲

・ユーザーのAWSアカウントに不正なアクセスや使用があったら
　１．アクセスキーとパスワードの変更
　２．公開鍵と秘密鍵の変更