2020年12月16日水曜日

AWS Security Speciality 勉強していたときのメモ

Secrets Manager をEnableすると、即座に1回ローテションを実行する

invalid. https://docs.aws.amazon.com/secretsmanager/latest/userguide/enable-rotation-rds.html

Enabling rotation causes the secret to rotate once immediately when you save the secret. Before you enable rotation, be sure you update all of your applications using this secret credentials to retrieve the secret from Secrets Manager. The original credentials might not be usable after the initial rotation. Any applications you fail to update break as soon as the old credentials become 

EC2のメタデータはDisableできる 

https://aws.amazon.com/jp/about-aws/whats-new/2019/11/announcing-updates-amazon-ec2-instance-metadata-service/ 

インスタンスメタデータのアクセスリクエストの機能強化を導入し、不正なメタデータアクセスに対する深層防御を追加しました。インスタンスメタデータサービスを設定して、新しいインスタンスと実行中のインスタンスの両方でこの機能をリクエストできます。さらに、インスタンスメタデータへのアクセスを完全にオフにすることもできます。


S3 ACLの使いどころ

アカウントレベル、オブジェクトレベルでも設定できる

バウンダリーポリシーなのでDenyはできない

クロスアカウントアクセスで、別アカウントにオブジェクトをアップロードしたとき、そのアカウントへのアクセスを許可するために必要。下記参照。https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/access-policy-alternatives-guidelines.html

オブジェクト ACL は、バケットの所有者が所有していないオブジェクトへのアクセスを管理する唯一の方法です。バケットを所有する AWS アカウントは、別の AWS アカウントにオブジェクトをアップロードするアクセス許可を付与できます。バケットの所有者はこれらのオブジェクトを所有していません。オブジェクトを作成した AWS アカウントは、オブジェクト ACL を使用するアクセス許可を付与する必要があります。


cmkローテーション

Customer managed keys. 1年で自動更新を"選択可能" 

AWS managed keys.  3年で自動(強制)

インポートしたkms keys 手動でローテションのみ。いつでもいい。1年未満でローテションできるのはインポートのみ。

※インポートしたキーは削除は即座に行われるので、保管しておく


CloudTrailの証跡(trail)

証跡を設定しなくても、デフォルトのCloudTrailイベント履歴で90日間は保管されている

90日以前を見たいときはは証跡をonにする必要がある


CloudFront 署名付き URL と署名付き Cookie 

https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/private-content-choosing-signed-urls-cookies.html

どちらも、コンテンツにアクセスできるユーザーを制御する

署名付き URL 

-  個別のファイルへのアクセスを制限 (アプリケーションのインストールダウンロードなど)

- ユーザーが Cookie をサポートしていないクライアント (カスタム HTTP クライアントなど) 

署名付き Cookie 

- 複数の制限されたファイル (HLS 形式の動画のすべてのファイルやウェブサイトの購読者の領域にあるすべてのファイルなど) へのアクセス

- 現在の URL を変更したくない場合


CLBでできること

CLB のみ独自の暗号化プロトコルに対応できる

CLB は 、HTTP/HTTPS に加えて、SSL接続可能

0 件のコメント:

コメントを投稿