Category: Security, Identity, & Compliance

このブログ投稿では、フェデレーションユーザーに対して、AWS Systems Manager Session Managerへのアクセス権限を属性ベースのアクセスコントロール（ABAC=Attribute Based Access Control）にて設定する方法を示します。SAMLセッションタグを使用することで、外部IDシステムで定義された属性をAWS内のABACの判定の一部として使用できます。たとえば、AWS Identity and Access Management（IAM）ユーザーが所属する部門に基づいて、特定のマネージドインスタンスへのアクセスを許可することができます。フェデレーションユーザーが使用できる属性の詳細については、「新しい ID フェデレーション – AWS でアクセスコントロールに従業員属性を使用する」を参照してください。

本投稿は AWS サーバーレス アプリケーションのシニアデベロッパーアドボケートである Benjamin Smith による寄稿です。 本シリーズの他のパートは以下のリンクからアクセスできます。また、関連するサンプルコードはこちらの GitHub リポジトリにあります。 パート1：サーバーレス LAMP スタックの紹介 パート3：Webサーバーの置き換え パート4：サーバーレス Laravel アプリの構築 パート5：CDK コンストラクトライブラリ パート6：MVC からサーバーレスマイクロサービスへ この投稿では、サーバーレスアプリケーションで Amazon Aurora MySQLリレーショナルデータベースを使用する方法を学びます。Amazon RDS Proxy を使用してデータベースへの接続をプールおよび共有する方法と、構成を選択する方法を示します。この投稿のコード例は PHP で記述されており、この GitHubリポジトリにあります。なお、この概念自体は、AWS Lambda でサポートされている他のランタイム言語にも適用できますので、PHP に限定しない内容としてお読みいただけます。 サーバーレス LAMP スタック このサーバーレス LAMP スタックアーキテクチャについては、この記事で説明しています。このアーキテクチャでは、PHP Lambda 関数を使用して、Amazon Aurora MySQL データベースの読み取りと書き込みを行います。 Amazon Aurora は、MySQL および PostgreSQL データベースに高いパフォーマンスと可用性を提供します。基盤となるストレージは、最大64 テビバイト（TiB）まで需要に応じて自動的に拡張されます。 Amazon Aurora DB […]

最近の日本のコンプライアンスのアップデートとして、アマゾン ウェブ サービス ジャパン から、FISC安全対策基準・解説書（第9版改訂）に対するリファレンスを公表しました。本Blogでは昨今のセキュリティのガイドラインの改訂においては基本的な考え方として使われる”リスクベースのアプローチ”を踏まえ従来のセキュリティの考え方と何が違うのか、もしくは違わないのか、利用者として考えるべきことは何かを本Blogではお伝えします。

多くのお客様が、Active Directory を使用して、さまざまなアプリケーションやサービスに対する一元的なユーザー認証と承認を管理しています。このようなお客様にとって、Active Directory は IT Jigsaw における重要な要素です。 AWS では、Microsoft Active Directory 用の AWS Directory Service を提供しています。このサービスは、実際の Microsoft Active Directory に基づいて構築された、可用性と耐障害性のある Active Directory サービスをお客様に提供します。AWS は、Active Directory の実行に必要なインフラストラクチャを管理し、必要なパッチ適用とソフトウェアの更新をすべて処理します。たとえば、フルマネージド型でドメインコントローラに障害が発生した場合、モニタリングによって障害が発生したコントローラを自動的に検出し、置き換えることができます。 マシンを Active Directory に手動で接続するのはありがたい作業です。コンピュータに接続し、手動で一連の変更を行ってから、再起動を実行する必要があります。特に難しいことはありませんが、この作業には時間がかかるため、搭載したいマシンが複数台ある場合はすぐに時間の無駄につながります。 本日、チームは、Linux EC2 インスタンスが起動時に、Microsoft Active Directory 用の AWS Directory Service にシームレスに接続できる新機能を発表しました。これは、Windows EC2 インスタンスが起動されるときにシームレスにドメインに結合できるようにする既存の機能を補完するものです。この機能により、お客様はより迅速な移行が可能になり、管理者の体験が向上します。 これで、Windows インスタンスと Linux EC2 インスタンスの両方が Microsoft Active Directory 用の AWS Directory Service […]

先日 (2020/08/18) 開催しました AWS Black Belt Online Seminar「AWS Shield Advanced」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200818 AWS Black Belt Online Seminar AWS Shield Advanced AWS クラウドサービス活用資料集（すべての過去資料が閲覧できます） Q. Shield Standard で「すべてのインターネットに面した AWS リソースが対象」とありましたが、EIP をアタッチした EC2 インスタンスも透過的に Shield Standard が適用されると思って間違いないでしょうか？（ELB か CloudFront が必要だと思っていました） A. はい。ほとんどの一般的な DDoS 攻撃に対する対策が適用されております。こちらのドキュメントをご参照ください。 Q. Shield Standard や他社製品を利用しているケースでアドバンスを検討するポイント（アドバンス利用のメリット）はありますでしょうか？ A. Amazon CloudWatch により DDoS 攻撃の可視化ができることや DDoS レスポンスチームのサポートが受けられること等が主なメリットとなります。また、DDoS によるコスト保護（DDoS […]

本投稿は、Senior Developer Advocate, Julian Woodの寄稿によるものです。 AWS Identity and Access Management（IAM）条件キーを使用して、AWS Lambda 関数のAmazon Virtual Private Cloud（VPC）設定を制御できるようになりました 。 IAM条件キーを使用すると、IAMポリシーステートメントが適用される条件をさらに絞り込むことができます。関数を作成および更新する権限を付与するときに、IAMポリシーで新しい条件キーを使用できます。 VPC設定の3つの新しい条件キーは、lambda:VpcIds、lambda:SubnetIds、そして、 lambda:SecurityGroupIds です。キーにより、ユーザーが1つ以上の許可されたVPC、サブネット、およびセキュリティグループに接続された関数のみをデプロイできるようにすることができます。ユーザーが許可されていないVPC設定で関数を作成または更新しようとすると、Lambdaは操作を拒否します。 LambdaとVPCの関係を理解する Lambdaの実行環境はすべて、Lambdaサービスが所有するVPC内で動作します。 Lambda関数は、Lambda API を呼び出すことによってのみ呼び出すことができます。関数が実行される実行環境への直接のネットワークアクセスはありません。 非VPC接続のLambda関数 Lambda関数がカスタマーアカウントのVPCに接続するように構成されていない場合、関数はパブリックインターネットで利用可能なすべてのリソースにアクセスできます。これには、他のAWSサービス、APIのHTTPSエンドポイント、またはAWS外のサービスとエンドポイントが含まれます。関数はVPC内のプライベートリソースに直接には接続できません。 VPC接続のLambda関数 Lambda関数を設定して、カスタマーアカウントのVPC内のプライベートサブネットに接続できます。 Lambda関数がカスタマーアカウントVPCに接続するように設定されている場合も、そのLambda関数は引き続きAWS LambdaサービスVPC内で実行されます。この場合、Lambda関数はすべてのネットワークトラフィックをカスタマーアカウント内VPC経由で送信し、このカスタマーVPCのネットワーク制御に従います。これらのコントロールを使用して、セキュリティグループ とネットワークACL を設定し関数が接続可能な範囲を制御できます。Lambda関数からの送信トラフィックは独自のネットワークアドレス空間から送信され、VPCフローログ を使用してネットワークを可視化できます。 パブリックインターネットを含むネットワークロケーションへのアクセスを制限できます。 カスタマーアカウント内のVPCに接続されたLambda関数は、デフォルトではインターネットにアクセスできません。関数にインターネットへのアクセスを許可するには、送信トラフィックをパブリックサブネットのネットワークアドレス変換（NAT）ゲートウェイ にルーティングできます。 Lambda関数を設定してカスタマーアカウント内のVPCに接続すると、AWS Hyperplane によって管理される共有Elastic Network Interface（ENI）が使用されます。この接続により、VPC-to-VPC NATが作成され、クロスアカウントに接続されます。これにより、Lambda関数からプライベートリソースへのネットワークアクセスが可能になります。 AWS Lambda サービスVPCからVPC-to-VPT NATを利用しカスタマーVPCへ Hyperplane ENIは、Lambdaサービスが制御し、カスタマーアカウント内のVPCに存在するマネージドネットワークインターフェースリソースです。複数の実行環境がENIを共有して、カスタマーアカウントのVPC内のリソースに安全にアクセスします。カスタマー側からのLambda実行環境(LambdaサービスVPC内)への直接のネットワークアクセスは出来ないことにご注意ください。 ENIはいつ作られるのか？ Lambda関数が作成されるか、そのVPC設定が更新されると、ネットワークインターフェイスの作成が行われます。関数が呼び出されると、実行環境は事前に作成されたネットワークインターフェースを使用し、そのインターフェースへのネットワークトンネルをすばやく確立します。これにより、コールドスタート時のネットワークインターフェースの作成と接続に関連していたレイテンシが削減 されています。 どのくらいの数のENIが必要か？ ネットワークインターフェイスは実行環境全体で共有されるため、通常、関数ごとに必要なネットワークインターフェイスはほんの一握りです。アカウント内の関数全体で一意のセキュリティグループとサブネットのペアごとに、個別のネットワークインターフェイスが必要です。同じアカウントの複数の関数が同じセキュリティグループとサブネットのペアを使用する場合、同じネットワークインターフェイスを再利用します。このように、複数の関数を備えているが、ネットワークとセキュリティの構成が同じである単一のアプリケーションは、既存のインターフェース構成の恩恵を受けることができます。 関数のスケーリングは、ネットワークインターフェイスの数に直接関係しなくなりました。Hyperplane […]

お客様からのフィードバックと新しいベストプラクティスに基づいて、AWS Well-Architected Framework のセキュリティの柱をアップデートしました。この記事では、セキュリティの柱のホワイトペーパーと AWS Well-Architected Tool の変更点の概要を紹介し、新しいベストプラクティスとガイダンスについて説明します。 AWS は、お客様がセキュアで高パフォーマンス、耐障害性、効率的なインフラストラクチャを構築することを支援するために、Well-Architected Framework を開発しました。Well-Architected Framework は、運用上の優秀性、セキュリティ、信頼性、パフォーマンス効率、コスト最適化の5つの柱から成り立っており、お客様、パートナー、AWS 内の各チームからのフィードバックを受けて、定期的にフレームワークを更新しています。またホワイトペーパーに加えて、AWS Well-Architected Tool も用意されており、ベストプラクティスに照らし合わせてアーキテクチャをレビューすることもできます。

先日 (2020/08/12) 開催しました AWS Black Belt Online Seminar「Amazon Macie」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200812 AWS Black Belt Online Seminar Amazon Macie AWS クラウドサービス活用資料集（すべての過去資料が閲覧できます） Q. S3 の設定変更を検知できるとのことですが、AWS Config で検知する場合との違いはございますでしょうか？ A. 検知は AWS Config とは別個の仕組みとなります。Macie で検知出来る変更の一覧がこちらにございます。 Q. カスタムを利用しても Macie で日本語は検知できない認識で問題ないでしょうか？ A. UTF-8 文字コードのファイルが対象であれば、カスタム識別子を使ってキーワード、正規表現に日本語や日本語とマッチするルールを指定して検知させることが可能です。 Q. Organizations を組んでいる親子アカウントがあった場合、無料試用期間は、親と子でそれぞれ使えますか？親子まとめて１アカウント分という計算になりますか？ A. 親子まとめてのカウントの計算となります。 Q. たとえばクレジットカードをコピー機でスキャンして PDF 化したファイルなど、画像データになった機密情報の識別は可能でしょうか？ A. 画像データのスキャンは現在は出来ません。 Q. 既存オブジェクトの上書きは差分スキャン対象になりますか？ A. Macie のジョブ設定での既存オブジェクトのスキャン有無の設定は、オブジェクトの上書きに対応していません。既存のオブジェクトを含めないとした場合、オブジェクトが上書きされていたとしてもスキャン対象外となります。差分スキャンかつ、上書きされたオブジェクトをスキャンしたい場合には、既存オブジェクトを含めるとした上で、オブジェクト条件の最終改訂日で条件指定をして、過去に更新されたファイルを除外する必要があります。 […]

アマゾン ウェブ サービス ジャパン株式会社 インダストリー事業開発部 の佐近です。 ヘルスケア領域のシステム企画・開発・運用にご興味をお持ちのエンドユーザーおよびパートナーを主な対象として2020年7月16日に開催したウェビナー「AWS 環境上での医療情報ガイドライン対応の最新動向」は、400名以上の方々にご視聴いただけました。 本記事では医療情報システム向けAWS利用「リファレンス」作成パートナー5社の登壇内容を含む当日の資料・動画と、ウェビナー視聴者にAWSの活用を今後1年以内で新規にご検討中の分野を伺ったアンケートの回答結果を皆様にご紹介します。

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、 シニアアドボケイトの亀田です。 今日は、AWS Organizationsによる、日本準拠法に関する AWS カスタマーアグリーメントの一括変更について、日本のお客様にとって重要なアップデートをお届けします。AWS Organizationsは複数のAWSアカウントにおいて、請求の一元管理や、アクセス、コンプライアンス、セキュリティの制御、AWS アカウント間でのリソースの共有などを実現するサービスです。 AWSのアカウントは開設直後、”AWS カスタマーアグリーメント”は準拠法、かつ管轄裁判所が米国ワシントン州法となっています。2017年11月に我々は、お客様が自動で”日本準拠法に関する AWS カスタマーアグリーメント変更契約”を締結可能とするAWS Artifactの機能をリリースしました。 https://aws.amazon.com/jp/blogs/news/how-to-change-aws-ca-by-artifact/ これによりお客様は、自身で複雑な処理を行うことなく、AWSのマネージメントコンソール上でAWS カスタマーアグリーメントの変更契約締結が可能となり、準拠法を日本法に変更し、更に、同契約に関するあらゆる紛争に関する第一審裁判所を東京地方裁判所に変更することができるようになりました。 この作業はアカウント単位で行う必要があり、企業内で複数のAWSアカウントを保有し、AWS Organizationsで管理されている場合、AWSアカウントの数だけその作業を行う必要がありましたが、このアップデートにより、マスターアカウントで作業を行うと、一括してメンバーアカウントへその設定が適応されます。また、設定作業後、新たに新規で追加されたメンバーアカウントにもその設定は自動で反映されるため、従来個別に作業を行う必要があったときに懸念されていた、作業漏れを防ぐことも可能です。 また、リセラーなど実運用にいおけるマスターアカウントとメンバーアカウントの管理母体が異なる場合は、本機能によるAWS カスタマーアグリーメント変更契約の一括締結には十分な注意を払う必要があります。 使い方は簡単です。 マネージメントコンソールからAWS Artifactにアクセスし、”契約”を開きます。”日本準拠法に関するAWSカスタマーアグリーメント変更契約（AWS Organizations用）を選びます。 その後画面右上の”契約の受諾”ボタンを押すと、”NDAを受諾して契約のダウンロードする”という画面が表示されますので、契約書をダウンロードします。 その後再度”契約の受諾”ボタンを押し、表示される確認ダイアログに同意すると、以下のようにAWSカスタマーアグリーメント変更契約が締結され、準拠法が切り替わります。 その他の詳細については下記のページをご参照ください。 https://aws.amazon.com/jp/artifact/faq/ – シニアアドボケイト 亀田