

# 主要な AWS のサービス
<a name="key-aws-services-1"></a>

 IoT で不可欠な AWS セキュリティサービスは、AWS IoT レジストリ、AWS IoT Device Defender、AWS Identity and Access Management (IAM)、および Amazon Cognito です。これらのサービスを組み合わせると、IoT デバイス、AWS のサービス、およびユーザーのリソースへのアクセスを安全に制御できます。次のサービスと機能は、セキュリティの 5 つの領域をサポートします。 

 **設計**: AWS デバイス認定プログラムは、AWS IoT との相互運用性について事前にテストされた IoT エンドポイントとエッジハードウェアを提供します。テストには、相互認証と、リモートパッチ適用の OTA サポートが含まれます。 

 **AWS Identity and Access Management (IAM):** デバイス認証情報 (X.509 証明書、IAM、Amazon Cognito ID プール、および Amazon Cognito user pools、またはカスタム承認トークン) を使用すると、AWS リソースへのデバイスおよび外部ユーザーのアクセスを安全に制御できます。AWS IoT ポリシーにより、IoT デバイスへのきめ細かいアクセスを実装することが可能になります。ACM プライベート CA は、デバイス証明書を作成および管理するためのクラウドベースのアプローチを提供します。AWS IoT モノのグループを使用して、IoT のアクセス許可を個別ではなくグループレベルで管理します。 

 **発見的統制**: AWS IoT Device Defender は、AWS IoT Core Core からのデバイス通信とクラウド側のメトリクスを記録します。AWS IoT Device Defender は、Amazon Simple Notification Service (Amazon SNS) を介して内部システムまたは管理者に通知を送信することにより、セキュリティ応答を自動化できます。AWS CloudTrail は、IoT アプリケーションの管理アクションをログに記録します。Amazon CloudWatch は、AWS IoT Core と統合されたモニタリングサービスであり、セキュリティ応答を自動化するために CloudWatch Events をトリガーできます。CloudWatch は、IoT エッジコンポーネントとクラウドサービス間の接続およびセキュリティイベントに関連する詳細なログをキャプチャします。

 **インフラストラクチャ保護**: AWS IoT Core は、接続されたデバイスがクラウドアプリケーションやその他のデバイスと簡単かつ安全にやり取りできるようにするマネージド型サービスです。AWS IoT Core にある AWS IoT のルールエンジンは、IAM アクセス許可を使用して他のダウンストリームの AWS のサービスと通信します。

 **データ保護**: AWS IoT には、転送中のデータを保護するための TLS を介したデバイスの暗号化機能が含まれています。AWS IoT は、保存中の暗号化をサポートする Amazon S3 や Amazon DynamoDB などのサービスと直接統合します。さらに、AWS Key Management Service (AWS KMS) は、暗号化に使用されるキーを作成および制御する機能をサポートします。デバイスでは、Amazon FreeRTOS、AWS IoT Greengrass、AWS IoT Embedded C SDK などの AWS エッジサービスを使用して、安全な通信をサポートできます。 

 **インシデント対応**: AWS IoT Device Defender では、通常のデバイス動作からの逸脱を検出し、AWS Lambda を含む自動応答をトリガーするために使用できるセキュリティプロファイルを作成できます。AWS IoT Device Management は、修復が必要なデバイスをグループ化し、AWS IoT ジョブを使用してデバイスに修正をデプロイするために使用する必要があります。 