← すべてのラボ
SCS-C02

AWS Security – Specialty

AWS のデータ保護・インシデント対応・ID 管理など高度なセキュリティ。

対応ラボ 16 件 ·AWS 認定の試験ガイド ↗

🔐入門45

IAM ユーザーとグループで最小権限アクセスを設計・適用する

カスタマー管理ポリシー・IAM グループ・IAM ユーザーを組み合わせ、特定の S3 バケットだけを読める最小権限アクセスを設計します。最後に作成したユーザーで実際にサインインし直し、「読み取りは成功・書き込みは拒否」を確かめて権限の境界を検証します。

IAMAmazon S3
🛡️入門45

AWS CloudTrail を有効化してアカウントの監査証跡を残す

CloudTrail で証跡(Trail)を作成し、API 操作の記録を S3 と CloudWatch Logs に保存します。実際に S3 バケット作成という操作を発生させ、イベント履歴とログから「誰が・いつ・何をしたか」を追跡する監査の基本を東京リージョンで学びます。

CloudTrailS3CloudWatch Logs
🛡️中級45

AWS WAF で Web アプリ(ALB)を保護する

事前構築済みの Application Load Balancer に AWS WAF の Web ACL を関連付け、マネージドルール・レートベースルール・カスタムルールで不正リクエストをブロックする実践ラボです。許可・拒否の挙動と、サンプリングされたリクエスト/CloudWatch メトリクスの確認まで一通り体験します。すべて東京リージョン(ap-northeast-1)で完結します。

AWS WAFElastic Load Balancing (ALB)Amazon VPC
🔐中級50

IAM ポリシーのリソース指定と条件キーでワークフローのアクセスを保護する

S3・SQS・DynamoDB から成る最小ワークフローに対し、最小権限の IAM ポリシーをリソース ARN と条件キー(タグ・MFA・暗号化必須など)で絞り込み、IAM Policy Simulator で「許可される操作・拒否される操作」を実証的に検証します。すべて東京リージョン・サンドボックス対応サービスのみで完結します。

IAMS3SQS
🛡️中級50

GuardDuty と CloudTrail でセキュリティインシデントを調査する

GuardDuty を有効化してサンプル検出結果を生成し、CloudTrail のイベント履歴で関連する API 呼び出しを突き合わせ、EventBridge と SNS / CloudWatch Logs を使って検出結果の自動通知・集約パイプラインを構築しながら、実践的なインシデント調査の流れを学びます。すべて東京リージョンで完結します。

GuardDutyCloudTrailEventBridge
🔐中級55

S3 / EBS / EFS ストレージを KMS 暗号化とアクセス制御で保護する

KMS のカスタマー管理キーを作り、S3 バケット・EBS ボリューム・EFS ファイルシステムを保存時暗号化で保護します。さらに S3 のパブリックアクセスブロックとバケットポリシー、IAM/セキュリティグループでアクセス制御を実装し、SSM 接続した EC2 から実際に読み書きして暗号化を確認します。東京リージョン・cloud_user のみで完結します。

AWS KMSAmazon S3Amazon EBS
🛡️中級50

GuardDuty でライブに脅威を検知し自動対応する

Amazon GuardDuty を有効化してサンプル脅威を発生させ、EventBridge と Lambda を使って検出結果(Findings)を自動的に解析・通知する一連の脅威検知&自動対応パイプラインを構築します。Lambda の重大度しきい値で自動トリアージし、High/Critical の脅威だけを SNS メールでライブに受け取る体験まで行います。すべて東京リージョンで完結します。

GuardDutyEventBridgeLambda
🛡️中級50

Amazon Inspector で EC2 と ECR の脆弱性を検出・管理するワークフロー

Amazon Inspector を有効化し、EC2 インスタンスとコンテナイメージ(ECR)の脆弱性を自動スキャンします。検出結果(Findings)の確認・深刻度による優先順位付け・抑制ルールによる運用ノイズの削減まで、脆弱性管理の一連のワークフローを東京リージョンで体験します。

Amazon InspectorAmazon EC2Amazon ECR
🛡️中級55

AWS Network Firewall を VPC に構成して送信トラフィックを検査する

AWS Network Firewall をシングル AZ の VPC に展開し、ステートフルルール(ドメインリスト型)でアウトバウンドのドメインフィルタリングを実装します。分散デプロイモデルの3ルートテーブル構成で送信トラフィックをファイアウォール経由に強制し、テスト用 EC2 から実際に通信して許可ドメインと拒否ドメインの挙動を検証します。

Network FirewallVPCEC2
🔐中級55

Secrets Manager で RDS の認証情報を保存し自動ローテーションする

RDS for PostgreSQL のマスター認証情報を Secrets Manager に保存し、Secrets Manager が自動デプロイする Lambda ローテーション関数で 30 日ごとの自動ローテーションを構成します。Lambda を VPC に接続し、Secrets Manager のインターフェイス VPC エンドポイントを使って、Lambda が DB と Secrets Manager の両方へインターネットに出ずに到達できる構成を学びます。

Secrets ManagerRDSLambda
🛡️中級45

Security Hub のセキュリティ標準でプロアクティブに是正する

Security Hub と AWS Config を有効化し、AWS 基礎セキュリティのベストプラクティス(FSBP)標準のコントロールで非準拠リソースを検知します。意図的に弱い設定(パブリックアクセスブロック無効)の S3 バケットを作って FAILED 検出を確認し、設定を是正してコントロールが PASSED に変わるまでを体験します。すべて東京リージョン・コンソール操作のみで完結します。

Security HubConfigS3
🛡️中級50

Security Hub の検出結果を EventBridge + Lambda で自動対応する

Security Hub を有効化し、検出結果(Findings)を EventBridge ルールで Lambda にルーティングして、セキュリティ問題を自動で是正・通知する仕組みを構築します。実際にパブリックアクセスを許可した S3 バケットを作り、Lambda がそのバケットのパブリックアクセスを自動でブロックするところまで体験します。すべて東京リージョン(ap-northeast-1)・コンソール操作のみで完結します。

Security HubEventBridgeLambda
🔐中級45

IAM ロールを作成し STS AssumeRole で引き受ける

IAM ロールと信頼ポリシー・権限ポリシーを作成し、CloudShell から STS AssumeRole を実行して一時的な認証情報を取得し、ロールに切り替わったことを確認します。AWS の認可モデルの中核である「ロールの引き受け」を手を動かして理解できます。確認用の S3 バケットは東京リージョンに作成します。

IAMSTSCloudShell
🔑中級45

EC2 にインスタンスプロファイル(IAMロール)を付与してキーレス運用

EC2 インスタンスに IAM ロール(インスタンスプロファイル)を付与し、アクセスキーを一切置かずに S3 へ安全にアクセスする方法を学びます。一時クレデンシャルの仕組みと最小権限ポリシーの作り方、Session Manager によるキーレス接続も確認します。

EC2IAMS3
🛡️上級50

IAM 権限境界(Permissions Boundary)で委任時の権限上限を設ける

IAM 権限境界を使って、権限を委任された管理者ロールが作成できる IAM プリンシパルの実効権限に「上限」を設ける方法を学びます。境界ポリシーの作成、委任ロールへの境界強制、実効権限の検証までを AWS マネジメントコンソールで一通り体験します。検証は実 API を呼ばないポリシーシミュレーターで安全に完結します。

IAMSTS
🔐中級55

Aurora クラスターの認証情報を Secrets Manager で自動ローテーションする

専用 VPC 上に Aurora MySQL 互換クラスター(db.t3.medium / 単一インスタンス)を作成し、認証情報を Secrets Manager で管理して 30 日ごとの自動ローテーションを構成・確認します。

Amazon AuroraAmazon RDSAWS Secrets Manager