• Home

  • Documents

  • t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C...
37
1 © 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved. そこが知りたい! AWS クラウドのセキュリティ #AWSRoadshow

t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Page 1: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

1© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

そこが知りたい!AWS クラウドのセキュリティ

#AWSRoadshow

Page 2: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

2© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

TwitterでAWS Cloud Roadshowに参加しよう!

公式アカウント@awscloud_jp最新技術情報、イベント情報、お得なクーポン情報など日々更新中!

#AWSRoadshow皆さんのご意見聞かせてください!

Page 3: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

3© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

名前:鈴木宏昌(スズキヒロアキ)

所属:AWSテクニカルトレーナー

好きなAWSのサービス:Amazon CloudWatch

前職:国内SIerでクラウドサービスの企画~運営を担当

自己紹介

Page 4: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

4© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

Agenda

AWSでのネットワークアクセス制御 VPC(仮想プライベートクラウド) サブネット セキュリティグループ、ネットワークACL

AWSリソースのアクセス制御 IAMユーザ IAMロール

AWS監査機能 CloudTrail、AWS Config Amazon Inspector

Page 5: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

5© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

ネットワーク制御とAWSリソース制御

不要なトラフィックを遮断してセキュアな環境を構築 VPCやセキュリティグループによりネットワークを制御 EC2インスタンス(仮想サーバ)へのアクセスを遮断することはできる

EC2インスタンスの起動や停止などの、AWSリソース操作を制御する機能ではない

セキュアな運用にはAWSリソースの制御も重要 AWS Identity and Access Management (IAM) EC2の起動や停止などのAWSリソース操作の制御が可能 AWSリソースの操作にはAPIが利用される

Page 6: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

6© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

AWS利用におけるセキュリティ確保の全体像

コマンドライン/ SDK

キーペアによる認証

セキュリティグループによるインスタンスの通信保護

仮想デスクトップ

ターミナル

アクセスキーIDシークレットキーによるAPIの認証

マネジメントコンソール

EBS

EBS

EC2(Linux)

EC2(Windows)

IAMユーザIDPasswordによる認証

AWS A

PIマ

ネジ

メン

トコ

ンソ

ール

VPC・サブネットによるネットワークの通信保護

SSL

SSL

SSH

RDP

IAM

Page 7: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

7© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

ネットワーク制御によるセキュリティ確保の全体像

キーペアによる認証

仮想デスクトップ

ターミナル

EBS

EBS

EC2(Linux)

EC2(Windows)

SSH

RDP

VPC・サブネットによるネットワークの通信保護

セキュリティグループによるインスタンスの通信保護

Page 8: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

8© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

Amazon Virtual Private Cloud (VPC)

AWS上に仮想的なプライベートネットワーク空間を構築 EC2やRDSなどのサービスはVPC内で起動

VPCは他の仮想ネットワークなどからも論理的に隔離VPNの利用より社内からの閉域網でAWSを利用可能 社内インフラの拡張として利用できる従来のネットワーク環境と同様の環境を構築できる

Page 9: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

9© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

ルートテーブル

ネットワークACL

ルートテーブル

ネットワークACL

インターネットゲートウェイ

VPNゲートウェイ

VPCの構成概要

サブネット

セキュリティグループ

インスタンス

インスタンス

サブネット

セキュリティグループ

インスタンス

インスタンス

Amazon VPC

Page 10: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

10© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

サブネット

VPC内は大きく次の2つの領域に分割可能 パブリックサブネット

• インターネットからアクセス可能な領域• ロードバランサーなどのサービスを配置

プライベートサブネット• インターネットから直接アクセスができない領域• インターネットから直接アクセスする必要がないリソースを配置し保護

※ロードバランサーを利用した場合、Webサーバーもプライベートサブネットに配置可能

Page 11: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

11© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

VPC構成例1:Web3層システム

Web Web踏み台 NAT

パブリックサブネット

Internet

プライベートサブネット

AP AP

アベイラビリティゾーンAアベイラビリティゾーンA アベイラビリティゾーンBアベイラビリティゾーンB

Amazon VPC

インターネットゲートウェイ

Page 12: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

12© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

VPC構成例2:オンプレミス環境との連携

VPN接続専用線

自社データセンター

アベイラビリティゾーンAアベイラビリティゾーンA

アベイラビリティゾーンBアベイラビリティゾーンB

Amazon VPC

仮想プライベートゲートウェイ(VGW)

Page 13: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

13© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

VPC構成例3:ワークロードごとのVPC分割

人事

営業

会計

VPC1

VPC2

VPC3自社ネットワーク 社外ネットワーク

(インターネット)

Page 14: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

14© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

VPCエンドポイントによるアクセス

Web Web踏み台 NAT

パブリックサブネット

プライベートサブネット

AP AP

S3

DynamoDB

アベイラビリティゾーンAアベイラビリティゾーンA アベイラビリティゾーンBアベイラビリティゾーンB

Amazon VPC

VPCエンドポイント

Internet

Page 15: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

15© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

VPCエンドポイント

VPCとAWSサービスをプライベートに接続 VPCエンドポイントがない場合は、インターネット経由でアクセス

プライベートサブネットからもアクセス可能

以下のサービスに対応(2017/09/27時点) S3

DynamoDB

Page 16: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

16© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

セキュリティグループとネットワークACL

EC2

サブネットサブネット

ネットワークACL(サブネットの境界を保護)

セキュリティグループ(インスタンスを保護)

Amazon VPC

Internet

Page 17: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

17© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

セキュリティグループ

インスタンスの仮想ファイアウォールとして機能 複数のインスタンスをグルーピング可能

デフォルトですべてのインバウンド通信は禁止

ステートフル

Web Web Web

Webサーバーセキュリティグループ

Page 18: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

18© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

多層セキュリティグループ

Web

Web

AP

AP

APサーバー

ロードバランサー

内部ロードバランサー

sg-0000001 sg-00000002 sg-00000003 sg-00000004

タイプ:HTTPソース:sg-00000001

タイプ:HTTPソース:sg-00000003

タイプ:HTTPソース:0.0.0.0/0

Webサーバー

セキュリティグループID

sg-00000001からのHTTP通信を許可

Page 19: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

19© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

ネットワークACL

サブネット毎に設定するパケットフィルタ機能

サブネット毎にインバウンド、アウトバウンド通信を制御

デフォルトはすべて許可

ステートレス

Page 20: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

20© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

セキュリティグループとネットワークACL

セキュリティグループ ネットワークACL

対象 サーバレベルで効果 サブネットレベルで効果

タイプ ホワイトリスト型AllowのみをIN・OUTで指定可能

ブラックリスト型Allow/DenyをIN・OUTで指定可能

ステート制御

ステートフルなので、戻りのトラフィックを考慮しなくてよい

ステートレスなので、戻りのトラフィックも明示的に許可設定する

適用順 全てのルールを適用 番号の順序通りに適用

適用範囲 インスタンス管理者がセキュリティグループを適用すればその管理下になる

サブネット内のすべてのインスタンスがACLの管理下に入る

Page 21: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

21© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

AWS利用におけるセキュリティ確保の全体像

コマンドライン/ SDK

キーペアによる認証

セキュリティグループによるインスタンスの通信保護

仮想デスクトップ

ターミナル

アクセスキーIDシークレットキーによるAPIの認証

マネジメントコンソール

EBS

EBS

EC2(Linux)

EC2(Windows)

IAMユーザIDPasswordによる認証

AWS A

PIマ

ネジ

メン

トコ

ンソ

ール

VPC・サブネットによるネットワークの通信保護

SSL

SSL

SSH

RDP

IAM

Page 22: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

22© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

IAMによるセキュリティ確保の全体像

コマンドライン/ SDK

アクセスキーIDシークレットキーによるAPIの認証

マネジメントコンソール

EBS

EBS

EC2(Linux)

EC2(Windows)

IAMユーザIDPasswordによる認証

AWS A

PIマ

ネジ

メン

トコ

ンソ

ール

SSL

SSL

IAM

Page 23: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

23© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

AWS Identity and Access Management (IAM)

AWSリソースの操作をセキュアに行うための認証・認可の仕組み

AWS利用者の認証と、アクセスポリシーを管理 AWS操作のためのユーザー・グループ・ロールの作成が可能 グループ、ユーザーごとに、実行出来る操作を規定できる ユーザーごとに認証情報の設定が可能

Page 24: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

24© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

AWSにおける認証の種類

種類 説明

メールアドレス&パスワードrootユーザ※としてAWSにアクセス

IAMユーザ名&パスワードIAMユーザとしてAWSマネージメントコンソールにアクセス

アクセスキーID&シークレットアクセスキー

CLIやAPIなどのプログラムによるAWSへのアクセスに利用

※rootユーザ• アカウント取得時に作成されるユーザ• AWSリソースのフルアクセス権を持つユーザ• 日々の運用業務などには使用しないことを強く推奨

Page 25: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

25© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

IAMユーザ/グループ

IAMユーザ AWS管理などを行うユーザ アプリケーションからの接続用など必ずしも人の操作用とは限らない

IAMグループ IAM ユーザーの集合 グループ全体の権限を指定する

rootユーザ

管理者グループ

開発グループ

TAKAHASHI

TANAKA

WATANABE

KURODA

IAMユーザ

AWSアカウント

IAMユーザ

Page 26: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

26© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

IAMポリシー

権限を記述している JSON ドキュメントIAMユーザ・グループなどに割り当てる

{"Version": "2012-10-17","Statement": {"Effect": "Allow","Action": "s3:ListBucket","Resource": "arn:aws:s3:::example_bucket"

}}

開発グループ

IAMポリシー

Page 27: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

27© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

IAM動作イメージ

管理者グループ

開発グループ

IAMポリシーS3

TAKAHASHITANAKA

WATANABEKURODA

EC2

AWSの全操作権限

S3の全操作権限マ

ネジ

メン

トコ

ンソ

ール AW

S API

IAMIAMポリシー

Page 28: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

28© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

IAMポリシー例

{"Version": "2012-10-17","Statement": [

{"Action": "ec2:*","Resource": "*","Effect": "Allow","Condition": {

"StringEquals": {"ec2:Region": "<REGION>"

}}

}]

}

{"Version": "2012-10-17","Statement": [

{"Effect": "Allow","Action": [

"ec2:TerminateInstances"],"Resource": [

"*"]

},{

"Effect": "Deny","Action": [

"ec2:TerminateInstances"],"Condition": {"NotIpAddress": {"aws:SourceIp": [

"192.0.2.0/24","203.0.113.0/24"]}},

"Resource": ["*"

]}

]}

特定のリージョン内でのみEC2アクセスを許可

EC2の終了権限を特定のIP範囲のユーザに制限

Page 29: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

29© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

IAMロール

AWS リソースへのアクセスを委任するために使用ロールを引き受けることでロールにアタッチされた権限を使用できる第三者へアクセス権を付与する際にも利用可能

ロール

AWSアカウントAのS3へのアクセス権

AWSアカウントBがロールを引き受け

AWSアカウントAのS3

クロスアカウントアクセス

アクセス

IAMポリシー

Page 30: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

30© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

IAMロールによるセキュアなアプリケーション開発

EC2にロールをアタッチすることでEC2上で動作するアプリケーションに権限を付与できるアクセスキー/シークレットアクセスキーをソースコードに埋め込む必要がない

ロール

S3FullAccess

AmazonDynamoDBFullAccess

IAMポリシーEC2インスタンス

AP S3

DynamoDB

インスタンスプロファイル

Page 31: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

31© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

AWS IAM のベストプラクティス

AWS アカウントの (rootユーザ) アクセスキーの削除個々の IAM ユーザーの作成グループを使用して IAM ユーザーに権限を割り当てる最小権限を付与強力なパスワードポリシーを設定する権限のあるユーザーに対して MFA を有効にする

※IAMベストプラクティスの詳細は以下を参照http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html

Page 32: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

32© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

その他、セキュアな環境構築のポイント

トラブル発生時にはログ記録の確認も重要 AWS CloudTrail

AWS Config

定期的な脆弱性の存在の有無のチェックなどのセキュリティ評価 Amazon Inspector

Page 33: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

33© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

AWS CloudTrail

AWSアカウントのすべてのリソースに対する AWS API 呼び出しを記録し、監視することができる

AWSCloudTrail

Amazon VPC

Amazon EC2

AmazonRDS

Amazon Redshift

管理コンソールCLI 他

Page 34: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

34© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

AWS Config

AWSConfig

AWS の詳細なリソース設定履歴を確認でき、設定を評価、監査、審査できるようにするサービス

Amazon EC2

停止→起動

Page 35: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

35© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

Amazon Inspector

AWSにデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させるための自動セキュリティ評価サービス脆弱性やベストプラクティスからの逸脱をチェック重要度や改善ステップを載せた詳細レポートを作成

Page 36: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

36© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

まとめAWSでのネットワークアクセス制御 VPC(仮想プライベートクラウド) サブネット セキュリティグループ、ネットワークACL

AWSリソースのアクセス制御 IAMユーザ IAMロール

AWS監査機能 CloudTrail、AWS Config Amazon Inspector

Page 37: t I $:6 a X { - m x Uu z ¡ 4 a j '$:6 o 4 k j ) z U u a Q -õ % m _ T ) m F Q ! # ¾93& C m _ x U b 4 * G I u z ¡ 4 a Q j ¾(& V ¥ k q ¥ k Ø s g 4 7 - T a m k Q -õ J ' . & J

37© 2017 Amazon Web Services, Inc. or its affiliates. All rights reserved.

ご清聴ありがとうございました!

#AWSRoadshow


J : ; H Q :Я J H = J : F F M J K : G ? M J H Q G H ?Я EЬ G

J : ; H Q :Я J H = J : F F M J K : G ? M J H Q G H ?Я EЬ G

Documents
M ,.., ~1-I~'..'bO~Q) M~;a;a;j~I I,..;. I I I I Q) I Q) -10 I. I Q) bO Q) I!'\ I ~ Q) .d Q) ~ I I r-! P .M t'-O 'C.'CIPI.MP PbO N H r-!H ~: .M ()~~JP S.MI(\J H .MQ)Q) 'C P r-!Q) (\J-IO

M ,.., ~1-I~'..'bO~Q) M~;a;a;j~I I,..;. I I I I Q) I Q) -10 I. I Q) bO Q) I!'\ I ~ Q) .d Q) ~ I I r-! P .M t'-O 'C.'CIPI.MP PbO N H r-!H ~: .M ()~~JP S.MI(\J H .MQ)Q) 'C P r-!Q) (\J-IO

Documents
M q [ g i h k j p i l m j

M q [ g i h k j p i l m j

Documents
4 J L .Q 4 M M nr 303

4 J L .Q 4 M M nr 303

Documents
M Q ? ; G H L J ? G B J H

M Q ? ; G H L J ? G B J H

Documents
Q M R C E M New R W Q N W J ers y F M E M R Q18 to X Q M …

Q M R C E M New R W Q N W J ers y F M E M R Q18 to X Q M …

Documents
J...¾ kkj 91j Ú q~ _jj jj ¢èËñú Å Ú q~ _ l91#m l91 m jj l91 m jj 92j ë j ÆåÁ q mk y j ¢èËñú Å ë j l92#m l92 m ÆåÁ q mk y l92 m j 93j qw jj ùþ c m¢èËñú

J...¾ kkj 91j Ú q~ _jj jj ¢èËñú Å Ú q~ _ l91#m l91 m jj l91 m jj 92j ë j ÆåÁ q mk y j ¢èËñú Å ë j l92#m l92 m ÆåÁ q mk y l92 m j 93j qw jj ùþ c m¢èËñú

Documents
= HD HK RG U M Q B L ? E V M Q ? G B D M J H V J Q I J : D ...elibrary.sgu.ru/uch_lit/1731.pdf · m q b l ? e v-

= HD HK RG U M Q B L ? E V M Q ? G B D M J H V J Q I J : D ...elibrary.sgu.ru/uch_lit/1731.pdf · m q b l ? e v-

Documents
I J B J M Q G B D - ЕКОНОМСКА УЖИЦЕ osiguranja...I J B J M Q G B D - ЕКОНОМСКА УЖИЦЕ ... u

I J B J M Q G B D - ЕКОНОМСКА УЖИЦЕ osiguranja...I J B J M Q G B D - ЕКОНОМСКА УЖИЦЕ ... u

Documents
J KL M N O P Q KM J Q R S N R T O S L O P Q KM Evaluation... · e F < L Q I U I L H L T M N R Q G L Q \ T H N ... l uo j t o ir v j ip q l w p o il j q q m t ... L U Q N K L P L Q

J KL M N O P Q KM J Q R S N R T O S L O P Q KM Evaluation... · e F < L Q I U I L H L T M N R Q G L Q \ T H N ... l uo j t o ir v j ip q l w p o il j q q m t ... L U Q N K L P L Q

Documents
Q:1 [M/J 2002 (2)]

Q:1 [M/J 2002 (2)]

Documents
K L J M D L M J : J H ; H Q H 2 I J H = J : F G : < Q :Ь G H 2 > B K P … · 2019. 12. 10. · k l j m d l m j : j h ; h q h 2 i j h = j : f g : < q :Ь g h 2 > b k

K L J M D L M J : J H ; H Q H 2 I J H = J : F G : < Q :Ь G H 2 > B K P … · 2019. 12. 10. · k l j m d l m j : j h ; h q h 2 i j h = j : f g : < q :Ь g h 2 > b k

Documents
L s Û a s ¤ U ¤ 2 Q M % J / K ¤  Q U ²Ý J r J w Q N JÌ N ... · ¤ k à 3 w j+ k a n k u j a s m r q n j q n a r Æ m ¶ t a j l s Û a s ¤ u ¤ 2 q m % j / k ¤  q u

L s Û a s ¤ U ¤ 2 Q M % J / K ¤  Q U ²Ý J r J w Q N JÌ N ... · ¤ k à 3 w j+ k a n k u j a s m r q n j q n a r Æ m ¶ t a j l s Û a s ¤ u ¤ 2 q m % j / k ¤  q u

Documents
M Q ? ; G H L J ? G B J H 808.2(075.8) ; ; D 141.2 ± y73 M 91 M 91 M q _ [ g h- l j _ g b j h \ h q g u l _ i h j m k k d h f

M Q ? ; G H L J ? G B J H 808.2(075.8) ; ; D 141.2 ± y73 M 91 M 91 M q _ [ g h- l j _ g b j h \ h q g u l _ i h j m k k d h f

Documents
J : ; H Q : Y J : F M Q ? ; G H F I J ? > F ? L M « B A H ...˜ЗО.pdf · Государственное казённое общеобразовательное учреждение

J : ; H Q : Y J : F M Q ? ; G H F I J ? > F ? L M « B A H ...˜ЗО.pdf · Государственное казённое общеобразовательное учреждение

Documents
k k l m n o o p Y q r V [ s t q u...M R d Q O z LN i M P K J L P R K M a b M N R Q N i Q i M z _ z b z b J N i f M Q K i N M K M Q M K Q R M ] _ b j z I x y y y ¡ ¢

k k l m n o o p Y q r V [ s t q u...M R d Q O z LN i M P K J L P R K M a b M N R Q N i Q i M z _ z b z b J N i f M Q K i N M K M Q M K Q R M ] _ b j z I x y y y ¡ ¢

Documents
J Z [ h q j h ] j m q [ g m j k « Z l f Z l b d»https://лицей64.рф/upload/Nachalnaia_school/Rabochie_programms... · J Z [ h q j h ] j m q _ [ g m j k « Z l _ f Z l b d»

J Z [ h q j h ] j m q [ g m j k « Z l f Z l b d»https://лицей64.рф/upload/Nachalnaia_school/Rabochie_programms... · J Z [ h q j h ] j m q _ [ g m j k « Z l _ f Z l b d»

Documents
Q | r& Å !Û S0 55,364,197 £ 13.86% U J T U Q m £ 1.23 W J R Q V ½ O R0 54,952,108 £ 14.37% U J V W U m £ 1.23 W J U O Q ½ O Q0 54,594,744 £ 15.04% V J P O P m £ 1.25 O N

Q | r& Å !Û S0 55,364,197 £ 13.86% U J T U Q m £ 1.23 W J R Q V ½ O R0 54,952,108 £ 14.37% U J V W U m £ 1.23 W J U O Q ½ O Q0 54,594,744 £ 15.04% V J P O P m £ 1.25 O N

Documents
The Single Particle Path Integral and Its Calculations · im q q t j iH t p m j j j j j e t i m e t i m q e q ... Gelfand-Yaglom Method • The expression can be written in terms

The Single Particle Path Integral and Its Calculations · im q q t j iH t p m j j j j j e t i m e t i m q e q ... Gelfand-Yaglom Method • The expression can be written in terms

Documents
J T Q I O S R M Q P O N J M L K J I M W V Q U E > > > D C

J T Q I O S R M Q P O N J M L K J I M W V Q U E > > > D C

Documents
scholar.utcc.ac.th...j tpk p y ¨ j m m ¡ mÓ ¥p q p ² ¨ Ô ~ ¦ j¥ m }¥m q j ~ y ~ ®p© Ô k p ² qt® ¦ ¥ ¥

scholar.utcc.ac.th...j tpk p y ¨ j m m ¡ mÓ ¥p q p ² ¨ Ô ~ ¦ j¥ m }¥m q j ~ y ~ ®p© Ô k p ² qt® ¦ ¥ ¥

Documents
J Z [ h q i j h ] j Z f f m q [ g h ] i j ^ f l « l j Z l ...https://лицей64.рф/upload/Srednia_school_5_9... · J _ ] m e y l b \ g u _ m g b \ _ j k Z e v g u _ m q _ [ g

J Z [ h q i j h ] j Z f f m q [ g h ] i j ^ f l « l j Z l ...https://лицей64.рф/upload/Srednia_school_5_9... · J _ ] m e y l b \ g u _ m g b \ _ j k Z e v g u _ m q _ [ g

Documents
K L J M D L M J : J H ; H Q H 2 I J H = J : F Q :Ь G H 2 ... · 2 k l j m d l m j : j h ; h q h 2 i j h = j : f q :Ь g h 2 > b k p b i e 1 g b « kпортивні ігри з методикою

K L J M D L M J : J H ; H Q H 2 I J H = J : F Q :Ь G H 2 ... · 2 k l j m d l m j : j h ; h q h 2 i j h = j : f q :Ь g h 2 > b k p b i e 1 g b « kпортивні ігри з методикою

Documents
M > J M @ ? G H M D : F I : 5 M A : > H 3 ? 5 ? F : 3 Q B ...€¦ · > h _ _ g Z i j b j h ^ Z g g Z q b g > h _ _ k Z f Z q b g b o ] j m ^ b a Z f Z d _ _ i j b j h ^ Z g g Z q

M > J M @ ? G H M D : F I : 5 M A : > H 3 ? 5 ? F : 3 Q B ...€¦ · > h _ _ g Z i j b j h ^ Z g g Z q b g > h _ _ k Z f Z q b g b o ] j m ^ b a Z f Z d _ _ i j b j h ^ Z g g Z q

Documents
New Q L ? G B - grsu.by · 2016. 5. 6. · Q77 Q. 2 / = j = M b f. Y. D m i Z e u ; j _ ^ d h e. : L ?. : \ l m o h \ b q h l \. j _ ^.) [ b ^ j.]. – = j h ^ g h : = j = M, 2011

New Q L ? G B - grsu.by · 2016. 5. 6. · Q77 Q. 2 / = j = M b f. Y. D m i Z e u ; j _ ^ d h e. : L ?. : \ l m o h \ b q h l \. j _ ^.) [ b ^ j.]. – = j h ^ g h : = j = M, 2011

Documents
415501 PrepareToCare Guide 2017 links FINAL · 2020-03-04 · e f gh i f j k j l m f n o p m q r s q i i p t go j u v f p u o w h x y ggg y j j m z y f m [ \ z m q z j m q u f n j

415501 PrepareToCare Guide 2017 links FINAL · 2020-03-04 · e f gh i f j k j l m f n o p m q r s q i i p t go j u v f p u o w h x y ggg y j j m z y f m [ \ z m q z j m q u f n j

Documents
u Z i q Z k l b) J H A G B Q G : Y H I L H < : Y ( k m f f q lneobroker-price.s3.amazonaws.com/23937.pdf · 1 j m i i Z2 j m i i Z3 j m i i Z J H A G B Q G : Y ( k m f f q _ l 10

u Z i q Z k l b) J H A G B Q G : Y H I L H < : Y ( k m f f q lneobroker-price.s3.amazonaws.com/23937.pdf · 1 j m i i Z2 j m i i Z3 j m i i Z J H A G B Q G : Y ( k m f f q _ l 10

Documents
^Qpkji^j^a^m S> t?/m Q&sQatm

^Qpkji^j^a^m S> t?/m Q&sQatm

Documents
À ü–引約款.pdf · 2020. 5. 15. · È r u è y y ¯ u v d Q q J Ü J ú v H d m O Q ¥ ¤ ¥ m ½ ¤ m ½ v È r u è y y ¯ u v d Q q J Ü J ú v H d m ½ O Q } ¥ ¤ ¥ m

À ü–引約款.pdf · 2020. 5. 15. · È r u è y y ¯ u v d Q q J Ü J ú v H d m O Q ¥ ¤ ¥ m ½ ¤ m ½ v È r u è y y ¯ u v d Q q J Ü J ú v H d m ½ O Q } ¥ ¤ ¥ m

Documents
Ä i ®$J © c . È × ×(m(m Hu...m J A - - ' Q N ë z B h 4 { C O ' 3 2 = L ¹ Q @ " ç * ä C _ Q ¼ ) G z ¹ J ³ ÷ ò ü Q @ = @ * Q J 1 s Ù % ) ë z A J S ¥ 4 q 4 * Ý N J

Ä i ®$J © c . È × ×(m(m Hu...m J A - - ' Q N ë z B h 4 { C O ' 3 2 = L ¹ Q @ " ç * ä C _ Q ¼ ) G z ¹ J ³ ÷ ò ü Q @ = @ * Q J 1 s Ù % ) ë z A J S ¥ 4 q 4 * Ý N J

Documents