コンテンツ分野 6: セキュリティとコンプライアンス

人間とマシンのアクセスに対するさまざまな IAM エンティティの適切な使用 (ユーザー、グループ、ロール、ID プロバイダー、アイデンティティベースのポリシー、リソースベースのポリシー、セッションポリシーなど)

ID フェデレーション手法 (IAM ID プロバイダーや AWS IAM アイデンティティセンターの使用など)

IAM アクセス許可の境界を使用したアクセス許可管理の委任

組織 SCP

最小権限アクセスを強制するポリシーの設計

ロールベースおよび属性ベースのアクセス制御パターンの実装

マシン ID (AWS Secrets Manager など) の認証情報ローテーションの自動化

人間とマシン ID へのアクセスを制御するアクセス許可の管理 [多要素認証 (MFA)、AWS Security Token Service (AWS STS)、IAM プロファイルの有効化など]

ネットワークセキュリティコンポーネント (セキュリティグループ、ネットワーク ACL、ルーティング、AWS Network Firewall、AWS WAF、AWS Shield など)

証明書とパブリックキーインフラストラクチャ (PKI)

データ管理 (データ分類、暗号化、キー管理、アクセスコントロールなど)

マルチアカウント環境およびマルチリージョン環境でセキュリティコントロールの適用を自動化する (AWS Security Hub、AWS Organizations、AWS Control Tower、AWS Systems Manager など)。

セキュリティコントロールを組み合わせて多層防御を適用する [AWS Certificate Manager (ACM)、AWS WAF、AWS Config、AWS Config ルール、Security Hub、Amazon GuardDuty、セキュリティグループ、ネットワーク ACL、Amazon Detective、Network Firewall など]。

機密データの検出を大規模環境で自動化する (Amazon Macie など)。

転送中のデータと保管中のデータを暗号化する [AWS Key Management Service (AWS KMS)、AWS CloudHSM、ACM など]。

セキュリティ監査サービスと機能 (AWS CloudTrail、AWS Config、VPC フローログ、AWS CloudFormation ドリフト検出など)

セキュリティの脆弱性とイベントを特定するための AWS サービス (GuardDuty、Amazon Inspector、IAM Access Analyzer、AWS Config など)

一般的なクラウドセキュリティの脅威 (セキュアでないウェブトラフィック、露出した AWS アクセスキー、パブリックアクセスが有効、または暗号化が無効になっている S3 バケットなど)

堅牢なセキュリティ監査の実装

予期しない、または異常なセキュリティイベントに基づくアラートの設定

サービスとアプリケーションのロギングの設定 (CloudTrail、Amazon CloudWatch Logs など)

ログ、メトリクス、セキュリティ結果の分析