==============================================================
責任分担セキュリュティモデル、認証(IAM)
==============================================================
■責任分担セキュリュティモデル
・AWS上のシステムは利用者とAWSが責任を共有してセキュリュティを高める
・インフラストラクチャ>コンテナ>アブストラクトの順で利用者の責任範囲は少なくなる
・インフラストラクチャサービス(EC2など)
→AWS:物理ホスト、物理ネットワーク、ストレージなど
利用者:データ、アプリ、OS、ネットワーク、ファイアウォール、暗号化、アカウントなど
・セキュリティ対策ソフト等を導入する
・侵入テスト実施時は、申請が必須
・コンテナサービス(RDSなど)
→AWS:物理ホスト、OS、ネットワーク、プラットフォーム、アプリケーション管理
利用者:データ、アカウント、ファイアウォール、暗号化など
・アブストラクトサービス(S3、DynamoDB)
→AWS:物理ホスト、OS、ネットワーク、プラットフォーム、アプリケーション管理
利用者:クライアントサイド暗号化、データ、アカウントなど
■AWSにおける認証とアクセス制御
・IAM(Identity and Access management)
・ユーザ管理、リソースへのアクセス制御
・IAMグループ、IAMユーザへの各種リソースへのアクセス可否をIAMポリシー
・アクセス許可とアクセス拒否のポリシーが相反する場合、拒否が優先
・マネジメントコンソール
ユーザ名/パスワード
・AWS CLI
アクセスキー/シークレットアクセスキー
・AWS SDK
アクセスキー/シークレットアクセスキー
・IAMポリシーと同様設定可能なIAMロールをEC2などに割り当てることで、EC2上のプログラムはアクセスキーとシークレットキーがなくてもリソースへのアクセスが可能
■IDフェデレーション
・一時的に認証所法を付与することか可能な、STS(Security Token Service)とIDブローカーを利よすることで、一時的にサービス許可をすることが可能
・AWSの使用頻度が少ないユーザは、IDフェデレーションで社内の認証基盤とIAMを連携
・IDブローカーは、IDストア(AD、LDAPなど)にアクセスしユーザ認証を行う
・以下の流れで処理が行われる
①ユーザが社内のIDブローカーにアクセス
②IDブローカーあ社内のIDストアでユーザ認証
③IDブローカーがSTSから一時的な認証情報を取得
④一時的な認証情報を使ってユーザがS3バケットにファイルをアップロード