AWS のデータ保護・インシデント対応・ID 管理など高度なセキュリティ。
対応ラボ 16 件 ·AWS 認定の試験ガイド ↗
カスタマー管理ポリシー・IAM グループ・IAM ユーザーを組み合わせ、特定の S3 バケットだけを読める最小権限アクセスを設計します。最後に作成したユーザーで実際にサインインし直し、「読み取りは成功・書き込みは拒否」を確かめて権限の境界を検証します。
CloudTrail で証跡(Trail)を作成し、API 操作の記録を S3 と CloudWatch Logs に保存します。実際に S3 バケット作成という操作を発生させ、イベント履歴とログから「誰が・いつ・何をしたか」を追跡する監査の基本を東京リージョンで学びます。
事前構築済みの Application Load Balancer に AWS WAF の Web ACL を関連付け、マネージドルール・レートベースルール・カスタムルールで不正リクエストをブロックする実践ラボです。許可・拒否の挙動と、サンプリングされたリクエスト/CloudWatch メトリクスの確認まで一通り体験します。すべて東京リージョン(ap-northeast-1)で完結します。
S3・SQS・DynamoDB から成る最小ワークフローに対し、最小権限の IAM ポリシーをリソース ARN と条件キー(タグ・MFA・暗号化必須など)で絞り込み、IAM Policy Simulator で「許可される操作・拒否される操作」を実証的に検証します。すべて東京リージョン・サンドボックス対応サービスのみで完結します。
GuardDuty を有効化してサンプル検出結果を生成し、CloudTrail のイベント履歴で関連する API 呼び出しを突き合わせ、EventBridge と SNS / CloudWatch Logs を使って検出結果の自動通知・集約パイプラインを構築しながら、実践的なインシデント調査の流れを学びます。すべて東京リージョンで完結します。
KMS のカスタマー管理キーを作り、S3 バケット・EBS ボリューム・EFS ファイルシステムを保存時暗号化で保護します。さらに S3 のパブリックアクセスブロックとバケットポリシー、IAM/セキュリティグループでアクセス制御を実装し、SSM 接続した EC2 から実際に読み書きして暗号化を確認します。東京リージョン・cloud_user のみで完結します。
Amazon GuardDuty を有効化してサンプル脅威を発生させ、EventBridge と Lambda を使って検出結果(Findings)を自動的に解析・通知する一連の脅威検知&自動対応パイプラインを構築します。Lambda の重大度しきい値で自動トリアージし、High/Critical の脅威だけを SNS メールでライブに受け取る体験まで行います。すべて東京リージョンで完結します。
Amazon Inspector を有効化し、EC2 インスタンスとコンテナイメージ(ECR)の脆弱性を自動スキャンします。検出結果(Findings)の確認・深刻度による優先順位付け・抑制ルールによる運用ノイズの削減まで、脆弱性管理の一連のワークフローを東京リージョンで体験します。
AWS Network Firewall をシングル AZ の VPC に展開し、ステートフルルール(ドメインリスト型)でアウトバウンドのドメインフィルタリングを実装します。分散デプロイモデルの3ルートテーブル構成で送信トラフィックをファイアウォール経由に強制し、テスト用 EC2 から実際に通信して許可ドメインと拒否ドメインの挙動を検証します。
RDS for PostgreSQL のマスター認証情報を Secrets Manager に保存し、Secrets Manager が自動デプロイする Lambda ローテーション関数で 30 日ごとの自動ローテーションを構成します。Lambda を VPC に接続し、Secrets Manager のインターフェイス VPC エンドポイントを使って、Lambda が DB と Secrets Manager の両方へインターネットに出ずに到達できる構成を学びます。
Security Hub と AWS Config を有効化し、AWS 基礎セキュリティのベストプラクティス(FSBP)標準のコントロールで非準拠リソースを検知します。意図的に弱い設定(パブリックアクセスブロック無効)の S3 バケットを作って FAILED 検出を確認し、設定を是正してコントロールが PASSED に変わるまでを体験します。すべて東京リージョン・コンソール操作のみで完結します。
Security Hub を有効化し、検出結果(Findings)を EventBridge ルールで Lambda にルーティングして、セキュリティ問題を自動で是正・通知する仕組みを構築します。実際にパブリックアクセスを許可した S3 バケットを作り、Lambda がそのバケットのパブリックアクセスを自動でブロックするところまで体験します。すべて東京リージョン(ap-northeast-1)・コンソール操作のみで完結します。
IAM ロールと信頼ポリシー・権限ポリシーを作成し、CloudShell から STS AssumeRole を実行して一時的な認証情報を取得し、ロールに切り替わったことを確認します。AWS の認可モデルの中核である「ロールの引き受け」を手を動かして理解できます。確認用の S3 バケットは東京リージョンに作成します。
EC2 インスタンスに IAM ロール(インスタンスプロファイル)を付与し、アクセスキーを一切置かずに S3 へ安全にアクセスする方法を学びます。一時クレデンシャルの仕組みと最小権限ポリシーの作り方、Session Manager によるキーレス接続も確認します。
IAM 権限境界を使って、権限を委任された管理者ロールが作成できる IAM プリンシパルの実効権限に「上限」を設ける方法を学びます。境界ポリシーの作成、委任ロールへの境界強制、実効権限の検証までを AWS マネジメントコンソールで一通り体験します。検証は実 API を呼ばないポリシーシミュレーターで安全に完結します。
専用 VPC 上に Aurora MySQL 互換クラスター(db.t3.medium / 単一インスタンス)を作成し、認証情報を Secrets Manager で管理して 30 日ごとの自動ローテーションを構成・確認します。