-
AWS Configによるリソース設定の監視
概要 AWSアカウント内のリソース設定がセキュリティベストプラクティスに準拠しているかを継続的に監視し、準拠していないリソースを検出する必要があります。 例えば、S3バケットのパブリックアクセス設定は誤って公開された場合に重大なセキュリティリス... -
S3とCloudFrontを使った静的サイトでCloudFrontからのみアクセスする方法
概要 S3バケットでホストされた静的ウェブサイトをCloudFront経由で配信する際、セキュリティ上の理由から、CloudFront経由でのみアクセスを許可し、S3のURLを使用した直接アクセスをブロックする必要があります。 本記事では、Origin Access Control (OAC... -
スイッチロールでクロスアカウントアクセスを実施する
概要 複数の AWS アカウントを運用している場合、開発者用アカウントのユーザーに本番環境アカウントの特定リソースへのアクセス権を付与することができます。 これは単にアカウント切り替えの手間が減るという話ではなく、クロスアカウントアクセスを実現... -
マネジメントコンソールのログイン失敗をCloudWatch Alarmで監視する方法と使い分け
概要 CloudTrail からイベントを CloudWatch Logs に転送し、メトリクスフィルターで作成したメトリクスに対してアラームを設定することで監視を行います。 サインイン失敗を監視する方法として、EventBridge を使った即時通知もありますが、「5 分間に 3 ... -
EventBridgeでコンソールのサインイン失敗イベントを検知する方法
概要 AWSマネジメントコンソールのサインインはイベントとして特定のリージョンに配信されます。詳しくは以下の記事を参照してください。 https://aws-scs.cloud-shikaku-lab.com/aws-console-signin-event-region/ EventBridgeでの監視メリット サインイ... -
AWS マネジメントコンソールへのサインインイベントの記録場所
概要 AWS マネジメントコンソールへのサインインイベント(ConsoleLogin)は、CloudTrail によって記録されますが、記録されるリージョンはユーザータイプとサインイン方法によって異なります。 サインイン失敗を監視するためには、イベントが記録されるリ... -
IAMポリシーでサービスの利用を特定リージョンに制限する方法
概要 AWSで利用可能なリージョンを制限する方法はいくつかありますが、今回はIAMポリシーを使って制限する方法をまとめます。 AWS Organizationsでリージョンの制限をする方法もありますが、組織に属していないアカウントでシンプルに不要なリージョンの利... -
AWS SystemsManager Patch Managerでオンプレサーバを管理
概要 AWS SystemsManager(以下SSM)にはPatchManagerというパッチの適用状況をスキャンし、必要があればインストールから再起動までを自動で行う機能があります。 この機能はEC2で構築したAWS上のインスタンスだけではなくオンプレ環境のサーバも対象にす... -
AWS暗号化キーの使い方 – 3種類の特徴と選び方
概要 AWSでは、データ暗号化に使用する3種類のキーが提供されています。S3やDynamoDBなどのサービスでデータを暗号化する際、セキュリティ要件に応じて適切なキータイプを選択することが重要です。 暗号化キーの比較 どの暗号化キーを使用しても、暗号化は... -
AWSセキュリティの基本:クラウドを安全に活用するための最初の一歩
概要 AWS(Amazon Web Services)は、現在世界で最も広く利用されているクラウドプラットフォームの一つです。数多くの便利なサービスが提供されていますが、それらを活用する上で避けて通れないのが「セキュリティ」の考え方です。 「クラウドはどこか不...
1