ゆいまるの勉強記録

AWS勉強中。

KMSの連携/非連携サービスについて

KMS…データの暗号化やデジタル署名に使用するキーを簡単に作成して管理する

参考:https://aws.amazon.com/jp/kms/

 

連携サービスは以下の通り。(多数のサービスで連携できる。)

参考:https://aws.amazon.com/jp/kms/features/

 

ポイントとしては、以下がサービス対象外であるであること。

✳︎EC2

✳︎Ops Works

   →EC2の場合は、データを保存するEBS側で利用するため。また、Ops WorksはEC2を利用するサービスのため対象外となっている。(と思われる。)

 

GuardDutyについて

GuardDuty

悪意のアクティビティに対して、AWSアカウント、ワークロードをモニタリングする。

参考:

https://aws.amazon.com/jp/guardduty/features/

 

具体的なモニタリング対象は、

✳︎Cloud Trail(つまりAPIコール)

✳︎VPCフローログ

✳︎DNS(つまりドメインIP)

→これを機械学習などの技術で解析。

※ELBトラフィックは解析できない点は注意!!

AWSでWEBサイトをHTTPSで公開する方法について

AWSでWEBサイトをHTTPSで公開する場合。

 

方法はいろいろあると思うのですが、SAAの模擬問題を解いていて押さえていたパターンは、この2つだったのでメモ&イメージを書いて見ました📝

 

f:id:yuistudy:20220116053928j:image

 

ポイントとしては、以下2点。

✳︎ACMAWS Certificate Manager)はELB(Elastic Load Balancing)と統合されている。

→これにより証明書発行/インポート/管理を行うことができる。

✳︎ACMがサポートされてないリージョンの場合、外部CAを利用、証明書の管理はIAMで行う。

 

参考ページ:

 https://aws.amazon.com/jp/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/


またサーバ証明書SSL証明書)の種類についても併せて整理。サーバ証明書には3種類が存在する。

ドメイン認証(DV)→ドメイン名が正しいかどうかを認証。
②実在証明型(OV)→ ドメイン名+会社名で証明。
③実在証明拡張型(EV)→ DV、OVよりも厳格な審査を受けてから発行。発行された証明書は、ドメイン名、実在証明を行い、アドレスバーに、組織情報が表示される。

 

***
TSL/SSLとかHTTPSとか難しくてなかなか頭に入らず…こうして関連情報はアウトプットして理解していきたい。

オンプレシステムをAWSへ移行する場合のIPアドレスの移動について

SAAの模擬問題で、オンプレ環境で保持しているIPアドレスをそのままAWSに移行する場合の方式を問う問題があって、

ROA

・RIR

・AS番号

など、私には聞き馴染みのない用語がどさっと出てきたので、まとめておきたいと思います。

 

まず用語の意味としては、

ROA:使われるAS番号と IPアドレスの組み合わせに対して、 組み合わせの正当性を示す電子署名がされたデータのこと。アドレス資源の割り当てやその証明の仕組み(リソースPKI)において使われるデータ。

・RIR:地域インターネットレジストリ。日本はAPNICに所属。

・AS番号:Autonomous System Number=自律システムに割り当てられているID。自律システムは、インターネットを構成する個々のネットワークを指す。

 

私の理解のイメージとしてはこんな感じ。

f:id:yuistudy:20220115065341j:plain

RIRの構成とROAのイメージ

APNIC内に日本のJPNICが存在し、その中でISP事業者がそれぞれにネットワークをもっている。各ISPがBGPプロトコルを介して連携し、インターネットを構成している。その際に、AS番号及びROAが使われる、と言うのが私のざっくりとした理解でした。

#それにしても、図を作成するのが下手すぎました。。

 

以下は、ROAを使用して所有するIPアドレスAWSにいこうする際の参考記事。

docs.aws.amazon.com

 

また、JPIXのページでAS番号が確認できるようで、Amazonは[AS16509]となっていました。

www.jpix.ad.jp

OCN、so-NetのAS番号はこちらで確認しました。

https://www.nic.ad.jp/ja/ip/as-numbers.txt

 

なんとなーくは理解出来た気がする。

AWSでの暗号化方式について

AWSでの暗号化方式についてまとめてみました。

✳︎どこで暗号化するか

✳︎キーを誰が管理するか

によって以下の方式があると理解しています。

f:id:yuistudy:20220113192546j:image

各方式のポイントは以下の通り。

【KMSによるとキー管理】xx-KMS

 ・KMSの追加料金が必要となる。

 ・KMSにAPIコールを行う。

【ユーザによるキー管理】xx-C

   ・AWS SDKを利用して暗号化の仕組みを実装するイメージのよう。

 ・参考ページ:

https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html

【S3によるとキー管理】SSE-S3

 ・全自動の暗号化。

 ・高度暗号化規格 AES-256を使用して、データ(オブジェクトレベル)を暗号化。

 ・アクセスログを含めて暗号化する。

 

***

実際の設定についてもコンソールで操作して、ブログに残したいなぁ。

AWS認定SAAを取得したものの…

AWSを使った業務経験はほぼなく、時間がかかりましたが(毎日10〜20分ほど勉強し5ヶ月…)AWS認定のSAAを取得することができましたら。職場で認定取得が求められていたのでホッとしました…!

 

ちなみに、勉強にはudemyの以下の教材を使いました。

https://www.udemy.com/share/101OzF3@7LxulhWACpqKQCFau6tcIpWse_auLXyQA5cZ_biCfjD1AAxSTD5lwJI9VQ0cPNX6sQ==/

udemy本当に便利ですね〜。子育て中はがっつり机に向かって勉強は難しいので、本当に助かりました♡

 

ハンズオン研修等も少し受けましたが、試験の対策としては、問題を解いてわからないサービスや用語を調べて…といった勉強が中心でした。

 

理解するためにいっぱいメモを書き、サービスの構成図も書きました。

f:id:yuistudy:20220113201334j:image

認定は取得できましたが、せっかくまとめた情報を無駄にしたくないので、ブログに残せたらと思います★✳︎*