AWS 認定資格 ラボ

#セキュリティ

28 件の記事

2026-05-06 ・ セキュリティ・運用

IAM Access Analyzer とは?過剰アクセスの自動検知

IAM Access Analyzer は 過剰に外部公開されたリソースを自動検出するセキュリティサービス。S3 バケット・IAM ロール・KMS 鍵・Lambda・SQS 等 が、組織外・予期せぬ第三者にアクセス可能になっていないかをチェックする。無料で有効化でき、設定し...

2026-05-06 ・ セキュリティ・運用

AWS Certificate Manager(ACM)とは?無料 SSL 証明書管理

AWS Certificate Manager(ACM)は AWS マネージドな SSL/TLS 証明書管理サービス。パブリック証明書は無料で発行でき、CloudFront / ALB / API Gateway 等に直接アタッチできる。自動更新機能で運用負荷ゼロ。プライベ...

2026-05-06 ・ セキュリティ・運用

AWS Audit Manager とは?コンプライアンス監査の自動化

AWS Audit Manager は コンプライアンス監査の証跡(エビデンス)を自動収集するサービス。SOC 2 / HIPAA / PCI DSS / GDPR 等のフレームワークに沿った AWS リソースの証跡を継続収集し、監査資料の作成を効率化する。 ---

2026-05-06 ・ セキュリティ・運用

AWS CloudTrail とは?API 呼び出し監査ログの活用

AWS CloudTrail は AWS アカウント内の全 API 呼び出しを記録する監査ログサービス。「誰が(IAM ユーザー / ロール)・いつ・どの API を・どこから(IP)・何の結果で」を追跡し、セキュリティ・コンプライアンス・トラブルシュートの基盤となる。デフ...

2026-05-06 ・ セキュリティ・運用

Amazon Cognito 完全ガイド|User Pool と Identity Pool の使い分け

Amazon Cognito は Web / モバイルアプリのユーザー認証・認可をフルマネージドで提供するサービス。User Pool(サインアップ・サインイン管理)と Identity Pool(一時 AWS 認証情報の発行)の 2 機能を組み合わせて、認証から AWS ...

2026-05-06 ・ セキュリティ・運用

AWS Config とは?リソース構成変更追跡とコンプライアンス評価

AWS Config は リソース構成(コンフィグ)の変更を継続的に記録・評価するサービス。CloudTrail が「API 呼び出し」を記録するのに対し、Config は 「リソースの状態と変更履歴」 を記録する。コンプライアンスルールで「S3 が暗号化されているか」「S...

2026-05-06 ・ セキュリティ・運用

AWS Control Tower とは?マルチアカウント Landing Zone 自動構築

AWS Control Tower は マルチアカウント環境のベストプラクティス構成(Landing Zone)を自動構築するサービス。Organizations + Identity Center + Config + CloudTrail + S3 ログ集約 等を 数ク...

2026-05-06 ・ セキュリティ・運用

Amazon Detective とは?セキュリティインシデント調査支援

Amazon Detective は セキュリティインシデント調査専用のサービス。CloudTrail / VPC Flow Logs / GuardDuty Findings を グラフ形式で可視化し、攻撃者の動き・関係性を追跡しやすくする。GuardDuty の Fin...

2026-05-06 ・ セキュリティ・運用

AWS Firewall Manager とは?マルチアカウント FW 統合管理

AWS Firewall Manager は WAF / Shield Advanced / Network Firewall / DNS Firewall / Security Group を組織全体で一元管理するサービス。Organizations と連携し、新規アカウ...

2026-05-06 ・ セキュリティ・運用

Amazon GuardDuty とは?機械学習で AWS の脅威を検知

Amazon GuardDuty は 機械学習と脅威インテリジェンスで AWS の脅威を継続検知するサービス。CloudTrail / VPC Flow Logs / DNS ログ・S3 ログ・EKS 監査ログ・RDS / Lambda ログ を自動分析し、不正アクセス・マ...

2026-05-06 ・ セキュリティ・運用

AWS IAM 完全ガイド|認証認可の中核サービス

IAM は AWS の全サービスへのアクセスを認証認可する中核セキュリティ機能。ユーザー・グループ・ロール・ポリシーの 4 要素で権限を管理し、「誰が・どのリソースに・何ができるか」をきめ細かく制御する。全 AWS サービスの土台で、CLF から SOA まで全試験で頻出。...

2026-05-06 ・ セキュリティ・運用

IAM ポリシー JSON 完全ガイド|権限定義のベストプラクティス

IAM ポリシーは JSON 形式で書かれた権限ルール集。ユーザー / グループ / ロールに紐付け、`Effect` `Action` `Resource` `Condition` の組み合わせで権限を細かく制御する。AWS のアクセス制御の中核で、ポリシー設計力が AW...

2026-05-06 ・ セキュリティ・運用

IAM ロール完全解説|一時権限委譲とアクセスキー不要の仕組み

IAM ロールは AWS リソース(EC2・Lambda・ECS)や別アカウント・連携 ID に一時的な権限を付与する仕組み。アクセスキーをコードに埋め込まず、STS(Security Token Service)が発行する一時クレデンシャルで認証する。クロスアカウント・サ...

2026-05-06 ・ セキュリティ・運用

AWS IAM Identity Center とは?マルチアカウント認証統合

AWS IAM Identity Center は AWS マルチアカウント環境の認証統合サービス。1 つのアカウントでログインすれば、複数 AWS アカウントへ AssumeRole で切替アクセス可能。SAML 連携で AD・Google・Okta 等のID 基盤統合や...

2026-05-06 ・ セキュリティ・運用

Amazon Inspector とは?EC2/ECR/Lambda の脆弱性自動スキャン

Amazon Inspector は EC2 / ECR コンテナイメージ / Lambda の脆弱性を継続的にスキャンするサービス。CVE データベースと自動照合し、ソフトウェアの脆弱性・誤った設定を検出する。設定不要・継続スキャンで、新たな CVE 公表時にも即座に検知...

2026-05-06 ・ セキュリティ・運用

AWS KMS 完全ガイド|暗号鍵管理サービスとエンベロープ暗号化

KMS は AWS の暗号鍵を作成・管理する中央サービス。S3・EBS・RDS・Lambda 環境変数等、AWS のあらゆる暗号化機能の鍵を提供する。FIPS 140-2 Level 3 認定のハードウェアセキュリティモジュール(HSM)で鍵を保護し、IAM と統合した細か...

2026-05-06 ・ セキュリティ・運用

Amazon Macie とは?S3 内の機密データを ML で自動検出

Amazon Macie は S3 内の機密データ(PII / クレジットカード / 認証情報)を機械学習で自動検出するサービス。GDPR / HIPAA / PCI DSS のコンプライアンスを支援し、「うっかり S3 に置いた個人情報」を発見する。組織横断のデータ可視化...

2026-05-06 ・ ネットワーク

Network ACL(NACL)とは?サブネット単位のステートレス FW

NACL は サブネット単位で適用するステートレスファイアウォール。SG(リソース単位・ステートフル)と組み合わせて 多層防御 を構成する。許可・拒否 両方のルールが書け、特定 IP のブロックなどに有効。番号順に評価される点が SG と異なる重要ポイント。 ---

2026-05-06 ・ ネットワーク

AWS Network Firewall とは?VPC の高度な L3-L7 防御

AWS Network Firewall は VPC 内のトラフィックを監視・制御するマネージド ステートフル ファイアウォール。SG / NACL より詳細な制御(ドメイン名フィルタ・侵入検知・DPI)ができ、Suricata 互換のルールエンジンを搭載する。Egress...

2026-05-06 ・ セキュリティ・運用

AWS Organizations 完全ガイド|マルチアカウント統合管理

AWS Organizations は 複数 AWS アカウントを 1 つの組織として統合管理するサービス。一括請求(Consolidated Billing)・SCP(Service Control Policy)でのガバナンス・新規アカウント作成自動化 を提供し、エンタ...

2026-05-06 ・ セキュリティ・運用

Systems Manager Parameter Store とは?設定値・機密値の階層管理

Parameter Store は AWS Systems Manager の機能で、設定値・機密値を階層的に保存・取得する。Secrets Manager と違い 無料(Standard ティア) で、設定値の中央管理に最適。SecureString で暗号化保管も可能だ...

2026-05-06 ・ セキュリティ・運用

AWS Resource Access Manager(RAM)とは?リソース共有サービス

AWS RAM は AWS リソースを別アカウントと共有するサービス。VPC サブネット・Transit Gateway・Route 53 Resolver Rules・License Manager 設定等を共有でき、リソースの重複作成・コスト浪費を防げる。Organiz...

2026-05-06 ・ セキュリティ・運用

Service Control Policy(SCP)とは?組織レベルのガードレール

SCP は Organizations で組織全体や OU・特定アカウントに適用するポリシー。メンバーアカウントの最大権限の上限を定義し、IAM で許可されていても SCP で拒否されたら使用不可になる。root ユーザーにも適用されるため、組織全体のガードレールとして機能...

2026-05-06 ・ セキュリティ・運用

AWS Secrets Manager とは?機密情報管理と自動ローテーション

AWS Secrets Manager は DB 認証情報・API キー・OAuth トークン等の機密情報を中央管理するサービス。自動ローテーション機能で RDS / Aurora のパスワードを定期的に自動更新でき、コードへのハードコーディングを排除できる。Paramet...

2026-05-06 ・ セキュリティ・運用

AWS Security Hub とは?セキュリティ Findings の統合ダッシュボード

AWS Security Hub は GuardDuty / Inspector / Macie / Config 等の Findings を統合表示する中央セキュリティダッシュボード。CIS Benchmark / PCI DSS / NIST CSF / AWS Fou...

2026-05-06 ・ ネットワーク

Security Group(SG)完全ガイド|ステートフル仮想ファイアウォール

Security Group(SG)は EC2・RDS・ALB 等のリソースに紐付ける仮想ファイアウォール。ステートフルなので「許可した通信の戻り」は自動的に許可される。すべての通信はデフォルト拒否で、明示的に許可ルールを書く必要がある。NACL より優先度が高く、リソース...

2026-05-06 ・ セキュリティ・運用

AWS Shield Standard / Advanced 完全比較|DDoS 防御の選び方

AWS Shield は DDoS 攻撃から AWS リソースを守るサービス。Standard は全 AWS 利用者に無料で常時有効、L3/L4 攻撃を自動防御。Advanced($3,000/月)はより強力な保護・24/7 対応・コスト保護を提供する。 ---

2026-05-06 ・ セキュリティ・運用

AWS WAF 完全ガイド|Web 攻撃から守る L7 ファイアウォール

AWS WAF は HTTP/HTTPS レベル(L7)の Web アプリケーションファイアウォール。SQL インジェクション・XSS・Bot 攻撃・地理的ブロック等を CloudFront / ALB / API Gateway / AppSync の前段で防御する。マネ...