[STG301] Amazon ユースカジノ 問い合わせ security and access control best practices(セキュリティ)
投稿日: 2022/12/09
Amazon ユースカジノ 問い合わせ のセキュリティとアクセス制御方法と Best Practices の紹介へのセッションで、今回のセッションでは大きく 5 つの Best Practices が取り上げられました。
- 1. Block Public Access: ユースカジノ 問い合わせ バケットに Block Public Access を適用してデータセキュリティを設定する
- 2. Encryption:ユースカジノ 問い合わせバケットレベルでデフォルトの暗号化設定を有効にし、ユースカジノ 問い合わせバケットキーを使用してAWS KMSを使用するコストを削減
- 3. Bucket Policies: 範囲を決めるために deny フレーズを使う
- 4. Disable ACLs : ユースカジノ 問い合わせ バケット所有者に ユースカジノ 問い合わせ Object 所有権の ACLs を無効にする
- 5. IAM Access Analyzer and logging your request : IAM Access Analyzer で許可設定が意図したとおりであることを確認し、Amazon ユースカジノ 問い合わせ server access log と AWS CloudTrail で bucket の記録を残す
ユースカジノ 問い合わせバケットはデフォルトでprivateに設定されているため、aws Account以外ではアクセスできず、同じアカウント内のIAMであっても、権限のないアカウントはアクセスできません。
ブロックパブリックアクセスは、Amazon ユースカジノ 問い合わせのパブリックアクセスを防ぐことを意味し、設定することをお勧めします。ユースカジノ 問い合わせが存在するアカウントの外からもアクセスできるように権限を与えることができますが、明確に指定してください。
ユースカジノ 問い合わせをData Lakeバケットとして使用したり、バケットにアプリケーション設定が含まれている場合、ログデータが含まれている場合、または静的ウェブサイトの内容が含まれている場合は、ユースカジノ 問い合わせ Block Public Accessが適していますが、ユースカジノ 問い合わせですぐに使用できるパブリックデータセットを埋め込む時は適していません。
Amazon ユースカジノ 問い合わせ 暗号化は、1) Client-side で使用する場合 2) データを移動するとき 3) データが保存されているときの 3 つのステップで適用できます。
その中で、データがユースカジノ 問い合わせに保存されているとき、利用可能な暗号化方法は
- 1. Amazon ユースカジノ 問い合わせ-managed keys (SSE-ユースカジノ 問い合わせ)
- 2. AWS KMS keys (SSE-KMS) with Customer Managed Key
- 3. AWS KMS keys(SSE-KMS)with AWS Managed Key
があり、それぞれの方法でサポートされている機能は、スライド内の画像で確認できます。
AWS コンソールで Amazon ユースカジノ 問い合わせ のデフォルト暗号化設定を簡単に有効にできます。
Amazon ユースカジノ 問い合わせバケットキーを使用すると、暗号化のパフォーマンスが向上し、KMSを使用して暗号化する場合よりも最大99%のコストを削減できます。
Amazon ユースカジノ 問い合わせ Storage Lensは、コスト効率とデータセキュリティを向上させるために、ストレージの使いやすさとアクティビティを一目で確認できるようにするStorage Analyticsサービスです。
Storage Lensデータにユースカジノ 問い合わせする方法は次のとおりです。
- 1. Amazon ユースカジノ 問い合わせ コンソールで提供されるダッシュボード
- 2. Amazon ユースカジノ 問い合わせバケットでデイリーにデータを転送する
- 3. Amazon CloudWatch
ユースカジノ 問い合わせ制限の中心には、IAM、バケットポリシー、ユースカジノ 問い合わせ制御リストがあります。
- Identity and Access Management(IAM):IAMアカウントポリシーによるユースカジノ 問い合わせ権を付与する
- Bucket Policy: Amazon ユースカジノ 問い合わせ バケットへのアクセスを許可する
- アクセス制御リスト(ACL):ユースカジノ 問い合わせバケットまたはオブジェクトへのアクセスを許可する
IAMポリシーは、IAMユーザーがどのバケットにどのアクションを取ることができるかを定義します。
- Effect: ポリシーが特定のアクションを許可するか拒否するか
- Action:ポリシーが許可または拒否するアクション
- Resource:ポリシーを適用するAWSリソース
ポリシーを作成するときは、ActionとResourceをマッピングする必要があります。bucket に対するActionの場合、Resourceも bucket でなければなりません。
IAM管理者はIAMポリシーを定義し、各IAMユーザーにIAMポリシーを割り当てます。
異なるAWSアカウント間でユースカジノ 問い合わせのデータを共有したい場合があります。そのとき、ユースカジノ 問い合わせバケットが存在するアカウント以外のアカウントのIAMポリシーにのみユースカジノ 問い合わせバケットアクセス権を与えると、ユースカジノ 問い合わせバケットにアクセスできなくなります。
ユースカジノ 問い合わせバケットポリシーにも特定の他のアカウントがアクセスできるというポリシーを定義する必要があり、そのアカウントからユースカジノ 問い合わせアクセスが可能です。
効率的なユースカジノ 問い合わせアクセス制御管理のためには、以下の規則に従うことをお勧めします。
- 1. 共有バケットのユースカジノ 問い合わせ管理を簡素化します。
- 2. バケットポリシーを細分化して、ユースカジノ 問い合わせしようとしている各ユースカジノ 問い合わせポイントごとに1つのポリシーを反映させます。
- 3. 特定のプレフィックスを使用してエンドユーザーを制限します。
- 4. 特定のVPCへのトラフィックを制限します。
ユースカジノ 問い合わせ Object Ownershipを使用して、バケットとオブジェクトのACL(AccessControlLevel)を無効にできます。(おすすめの方案)
バケットACLを無効にすると、バケットはバケット所有者によって所有され、バケットポリシーはバケット内のすべてのオブジェクトに反映されます。
Amazon ユースカジノ 問い合わせ server access log と AWS CloludTrail に ACL 使用情報が追加され、「aclRequired」という名前のフィールドが新規に追加されました。
IAM Access Analyzerを使用してバケットに許可されているものをレビューし、パブリックバケットまたは外部で共有されているバケットを示す単純なダッシュボードとして機能します。
IAM Access Analyzer for ユースカジノ 問い合わせの例については上記を参照してください。
Amazon ユースカジノ 問い合わせサーバーアクセスログとAWS CloudTrailを使用すると、バケットに入っているリクエストの詳細な履歴を確認し、セキュリティとアクセス監視に役立ち、リクエストをクエリして分析できます。
私がデータを扱う作業をするとき、ユースカジノ 問い合わせはほとんど不可欠に使用しているストレージサービスですが、主にセキュリティとアクセス権は設定されているとおりに使用していました。
セキュリティとアクセス権を設定するためにSAと顧客と直接協議する必要がある場合に備えて、ユースカジノ 問い合わせポリシーについて知りたいと思いましが、今後実際のユースカジノ 問い合わせを扱う際に役立つと思いました。