ゆいまるの勉強記録

AWS勉強中。

Amazon Cloud Directoryについて

Amazon Cloud Directoryについて

https://aws.amazon.com/jp/cloud-directory/

特徴

https://aws.amazon.com/jp/cloud-directory/features/

 

特に覚えるべきポイントは、

✳︎完全マネージド型のインフラストラクチャ→つまり、自動スケーリングくれる!

✳︎AWS Cloud Trail、およびタグづけとの統合。→ユーザのアクセス、リソースの状態の追跡ができる。

 

クライドネイティブで環境部分をお任せできる、SVNのようなものと理解。

Amazon Redshiftの暗号化について

こちらの記事を読んだところ、https://docs.aws.amazon.com/ja_jp/redshift/latest/mgmt/working-with-db-encryption.html

 

"Amazon Redshift では、暗号化キーの階層を使用してデータベースを暗号化します。AWS Key Management Service (AWS KMS) またはハードウェアセキュリティモジュール (HSM) のいずれかを使用して、この階層の最上位の暗号化キーを管理できます。"

 

★暗号化キーの階層を使用し、Amazon Redshiftで取り扱うデータベースを暗号化する。

★また、暗号化にはAWS KMS/HSMのいずれかを使う。

★階層については、AWS KMSの説明(↓)でなんとなく理解できそう。

 

"Amazon Redshift によるキー管理用に AWS KMS を選択した場合、4 階層の暗号化キーがあります。これらのキーは、階層の最上位から順にルートキー、クラスターの暗号化キー (CEK)、データベースの暗号キー (DEK)、データ暗号化キーとなっています。"

 

★ルートキーとはAWS KMSが作成するAWS KMS keys と呼ばれるキーのこと。KMSが作成するおおもとのキーを最上位として、キー管理が行われる。

 

ちなみに、HSM側は、

"HSM は、キー生成と管理を直接に制御するデバイスです。キーの管理をアプリケーションとデータベースのレイヤーから切り離すことで、より優れたセキュリティを実現します。Amazon Redshift では、キー管理のために AWS CloudHSM Classic がサポートされています。AWS KMS の代わりに HSM を使用して暗号化キーを管理するときは、暗号化プロセスが異なります。"

 

ということだが注意点として、

"Amazon Redshift では、 AWS CloudHSM Classic のみがサポートされています。新しい AWS CloudHSM サービスはサポートされていません。

新規のお客様は、AWS CloudHSM クラシックをご利用いただけません。"

 

★つまり、基本的にはAWS CloudHSMはRedshiftで使わない、非推奨ということらしい。

 

MFAの有効化について

まずは、MFAで何ができるのか?

…通常のログイン認証情報に加え、セキュリティを向上させるには、MFA(多要素認証)メカニズムを使ってセキュリティを高める。

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa.html

 

手順は?

1.MFA デバイスを入手

2.MFAデバイスを有効にする

 

"仮想またはハードウェア MFA デバイスを使用するIAM ユーザー: AWS Management Console、AWS CLI、または API から有効にします。"

→マネジメントコンソール以外にも、CLIAPI実行でも有効にできる、というのがポイント!

 

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_enable.html

 

字面が似てるサービスまとめ①"work"にまつわるサービス+α

なんとなーく雰囲気が似てるな…と思っていたキーワードについて、まとめてみました。

 

1.Amazon WorkSpaces

https://aws.amazon.com/jp/workspaces/

*"あらゆるデバイスからリソースにアクセスできる Windows および Linux 向けのフルマネージドデスクトップ仮想化サービス"

*リモートワークの推進にも役立つ!(機密情報、個人情報を扱うワーカー向けに有用そう。)

 

2.Amazon Simple Workflow

https://aws.amazon.com/jp/swf/

*並行、連続したステップがあるバックグラウンドジョブの構築、実行、スケールに向けたサービス。

*フルマネージド型のサービス。

*"AWS のサービスのオーケストレート、ビジネスプロセスの自動化、サーバーレスアプリケーションの構築のために、ローコードのビジュアルプロセスフローサービスをお探しの方は、AWS Step Functions の詳細をご覧ください。"とあり、よりビジュアル的に進化したサービスとして、AWS Step Functionsがおすすめされている模様。

 

3.AWS Step Functions

https://aws.amazon.com/jp/step-functions/

*"分散アプリケーションの構築、IT およびビジネスプロセスの自動化、AWS のサービスを利用したデータと機械学習のパイプラインの構築に使用するローコードのビジュアルワークフローサービス"

*Workflow Studioという機能がある。

 →GUIベースでワークフローの確認、編集ができるサービスのよう。

KMSの暗号化対象について

KMSの暗号化対象は、

*ストレージ等に保存しているデータ

*転送中のデータ

となる。

 

例えば、EC2で取り扱うデータを暗号化する場合、データの保存先であるEBSにて暗号化の設定を行う。

参考:

https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/EBSEncryption.html

KMSの連携/非連携サービスについて

KMS…データの暗号化やデジタル署名に使用するキーを簡単に作成して管理する

参考:https://aws.amazon.com/jp/kms/

 

連携サービスは以下の通り。(多数のサービスで連携できる。)

参考:https://aws.amazon.com/jp/kms/features/

 

ポイントとしては、以下がサービス対象外であるであること。

✳︎EC2

✳︎Ops Works

   →EC2の場合は、データを保存するEBS側で利用するため。また、Ops WorksはEC2を利用するサービスのため対象外となっている。(と思われる。)