■7つの設計原則

• 強固な認証基盤の整備

• 追跡可能性の実現

• 全レイヤーへのセキュリティ適用

• セキュリティのベストプラクティス自動化

• 転送中および保管中のデータの保護

• データに人を近づけない

• セキュリティイベントに対する準備

■6つのベストプラクティス

• Identity and Access Management

• アイデンティティとアクセス管理

• 発見的統制

• インフラストラクチャ保護

• DDos攻撃を緩データ保護

• インシデント対応

[Amazon API Gateway]

[Amazon Cognito]

[Amazon GuardDuty]

悪意のあるアクティビティのために AWS アカウントとワークロードを継続的にモニタリングし、可視化と修復のための詳細なセキュリティ調査結果を提供する脅威検出サービス。

AWS Security Hub と Amazon Detective を使う。

[Amazon Inspector]

事前に定義されたテンプレートに基づいてEC2インスタンスを分析し、脆弱性をチェックするサービス。

[AWS Artifact]

AWSコンプライアンスレポートのダウンロードサービス。

[AWS Certificate Manager(ACM)]

無料で使える。インターネットから安全にアクセスするためには、AWS Certificate Managerを利用してSSL/TLS証明書を設定して、HTTPS通信を実現する。

[AWS Control Tower]

マルチアカウントの AWS 環境セットアップを自動化して、各アカウントのセキュリティ設定を統制することができる。

[AWS Network Firewall]

VPC経由のネットワークトラフィックに対してファイアーウォールや侵入防止システムを提供するサービス。

[AWS Secrets Manager]

[AWS Shield ]

[AWS STS (Security Token Service)]

AWSリソースに対して一時的な認証情報を提供する機能。

[AWS WAF]

[アクセスキー とシークレットアクセスキー]

AWSサービスへのプログラム呼び出しを認証するために使用される認証方法。

[鍵管理サービス]

AWSの鍵管理サービスにはAWS Key Management Service (AWS KMS)とCloudHSMがある。

CloudHSMは、VPC内で専有のハードウェアを利用して鍵を管理するサービスで、相当に大規模なシステムに用いる。KMSは、AWSが管理するマネージドサービスで、多くの場合、CloudHSMではなくこちらを用いる。

KMSだけでは業界標準の暗号化対応を保証することはできない。

SSE-S3とSSE-Cは特定のAWSサービス（S3）においてデータの暗号化を行うためのオプションであり、AWS KMSやCloudHSMはより広範な鍵管理のためのサービスである。

[責任共有モデル]

AWSサービスに対してユーザー側で実施するべきセキュリティ対応は責任共有モデルによって定義されている。

主に個々のユーザーアカウントと認証情報、データ送信用のSSL / TLS証明書の設定による通信の暗号化、ユーザーアクティビティログの取得設定などの特定のセキュリティ設定は、ユーザー側で実行することが求められる。

[セキュリティグループ]

[ネットワークACL]

ネットワークACLおよびセキュリティグループはURLに基づいてリクエストをフィルタリングすることができない。