AWS Artifact ポータルでは、AWS のセキュリティやコンプライアンスに関するドキュメントにオンデマンドでアクセスできます。監査アーティファクトとしても知られています。監査アーティファクトには、Service Organization Control (SOC)、Payment Card Industry (PCI) レポート、AWS セキュリティ制御の実装と運用の有効性を検証する、さまざまな地域やコンプライアンス垂直市場の認定機関からの認定が含まれます。

AWS Artifact から監査アーティファクトをダウンロードして、AWS のインフラストラクチャとサービスのセキュリティとコンプライアンスを明示し、監査人や規制機関に提出できます。

AWS マネジメントコンソール から AWS Artifact ポータルに直接アクセスできます。

AWS Certificate Manager により、AWS の各種サービスで使用する Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理、およびデプロイを簡単に行えます。SSL/TLS 証明書は、ネットワーク通信を保護し、インターネットでウェブサイトのアイデンティティを確立するために使用されます。AWS Certificate Manager を使用すれば、SSL/TLS 証明書の購入、アップロード、および更新という時間のかかるプロセスを手動で行う必要がなくなります。AWS Certificate Manager を使えば、証明書のリクエスト、および Elastic Load Balancing や Amazon CloudFront ディストリビューションといった AWS のリソースでの証明書のデプロイを簡単に行うことができます。また、証明書は自動的に更新されます。AWS Certificate Manager でプロビジョニングされた SSL/TLS 証明書は無料です。お支払いいただくのは、アプリケーションを実行するために作成した AWS リソースの料金のみです。

詳細については、AWS Certificate Manager 製品ページを参照してください。

Amazon Cloud Directory では、柔軟性に優れたクラウドネイティブのディレクトリを構築し、複数のディメンションに沿ったデータの階層を編成できます。Cloud Directory を使うと、組織図、コースカタログ、デバイスレジストリなど、さまざまなユースケースのディレクトリを作成できます。Active Directory Lightweight Directory Services (AD LDS) やその他の LDAP ベースのディレクトリなどの従来のディレクトリソリューションでは単一階層に限定されますが、Cloud Directory では複数のディメンションにまたがる階層構造のディレクトリを柔軟に作成できます。例えば、報告体制、所在地、コストセンターの別々の階層内を検索できる組織図を作成できます。

Amazon Cloud Directory では、何億というオブジェクトへのスケールも自動的に行われ、複数のアプリケーション間で共有できる拡張可能なスキーマが利用できます。完全マネージド型サービスのため、Cloud Directory では、インフラストラクチャのスケーリングやサーバーの管理といった、時間や費用のかかる管理タスクが発生しません。単にスキーマを定義し、ディレクトリを作成して、Cloud Directory API を呼び出すことでディレクトリにデータを入力できます。

詳細については、Amazon Cloud Directory 製品ページ 参照してください。

AWS CloudHSM サービスを使用すると、AWS クラウド内の専用ハードウェアセキュリティモジュール（HSM）アプライアンスを使用して、データセキュリティに対する企業コンプライアンス要件、契約上のコンプライアンス要件、および法令遵守の要件を満たすことができます。CloudHSM を使用して、暗号化キーや HSM によって実行される暗号化操作を管理します。

詳細については、AWS CloudHSM 製品ページを参照してください。

Amazon Cognito を使用すれば、ウェブアプリケーションおよびモバイルアプリに素早く簡単にユーザーサインアップ/サインインおよびアクセスコントロールの機能を追加できます。Cognito は、数百万人のユーザーにスケールし、Facebook、Google、Amazon などのソーシャル ID プロバイダー、および SAML によるエンタープライズ ID プロバイダーを使用したサインインをサポートします。ユーザーはエンタープライズアイデンティティプロバイダーで、SAML 2.0 経由でもサインインできます。

詳細については、Amazon Cognito 製品ページ »を参照してください。

AWS Microsoft AD とも呼ばれる AWS Directory Service for Microsoft Active Directory (Enterprise Edition) によって、ディレクトリ対応型ワークロードと AWS リソースで AWS クラウド内のマネージド型の Active Directory を使用できるようになります。Microsoft AD サービスは実際の Microsoft Active Directory 上に構築されるので、既存の Active Directory からクラウドにデータを同期化または複製する必要がありません。標準の Active Directory 管理ツールが使用でき、グループポリシー、信頼、シングルサインオンなど組み込みの Active Directory 機能を利用できます。Microsoft AD によって、Amazon EC2 および Amazon RDS for SQL Server インスタンスを簡単にドメインに参加させることができ、Amazon WorkSpaces などの AWS Enterprise IT アプリケーションを Active Directory のユーザーおよびグループで使用できるようになります。

詳細については、AWS Directory Service 製品ページを参照してください。

AWS Firewall Manager は、お客様の複数のアカウントとアプリケーションにわたって中央で AWS WAF ルールを設定、管理することを容易にするセキュリティ管理サービスです。Firewall Manager を使うと、Application Load Balancers と Amazon CloudFront ディストリビューションに対する AWS WAF ルールを AWS Organizations の多数のアカウントにわたって容易にロールアウトできます。また、新規アプリケーションが作成されるたびに、Firewall Manager は初日から共通のセキュリティルールで新規アプリケーションとリソースが容易にコンプライアンスを満たせるようにします。これで、Application Load Balancers と Amazon CloudFront のインフラストラクチャ全体にわたって一貫性を持ち、階層的にファイアウォールのルールを構築し、セキュリティポリシーを作成し、これらを適用するための単一のサービスを手に入れることができます。

詳細については、AWS Firewall Manager 製品ページを参照してください »

Amazon GuardDuty は管理された脅威検出サービスで、お使いの AWS アカウントとワークロードを継続的にモニターし、保護するためのさらに正確で容易な方法をお届けします。GuardDuty はほんの数クリックだけで、複数の AWS ログソースからの何 10 億ものイベントを直ちに解析開始します。これは有害な IP やドメインなどの脅威情報のフィードと、機械学習を用いて、より正確に脅威を検出するものです。例えば、GuardDuty はマルウェアまたはマイニングビットコインを配信する、感染した EC2 インスタンスを検出できます。お使いのウェブサーバーに既知のアプリケーションの脆弱性があるか、または通常とは異なる場所からの AWS リソースへのアクセスと言った攻撃を検出できます。また、お使いの AWS アカウントをチェックして、不正なインフラのデプロイや、通常ではない API の呼び出しなどの感染の兆候を探し出します。脅威が検出されると、GuardDuty は詳細なセキュリティアラートをユーザーに発行し、その脅威に対処できるようにします。GuardDutVy では、インテリジェントな脅威の検出と、行動に移せるアラートを、使いやすく、従量制の、クラウド上でのセキュリティサービスとしてお使いいただけます。

詳細については、Amazon GuardDuty 製品ページを参照してください。

AWS Identity and Access Management (IAM) は、お客様の AWS クラウドリソースのアクセス管理サービスです。AWS IAM により、お客様のユーザーによる AWS のサービスとリソースへのアクセスを安全にコントロールすることができます。IAM を使用すると、AWS のユーザーとグループを作成および管理し、アクセス権を使用して AWS リソースへのアクセスを許可および拒否できます。

詳細については、AWS IAM 製品ページを参照してください。

Amazon Inspector は、AWS にデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための、自動化されたセキュリティ評価サービスです。Amazon Inspector は、自動的にアプリケーションを評価し、脆弱性やベストプラクティスからの逸脱がないかどうかを確認します。評価が実行された後、重大性の順に結果を表示した詳細なリストが Amazon Inspector によって作成されます。

すぐに利用を開始できるよう、Amazon Inspector には、共通のセキュリティベストプラクティスや脆弱性の定義に対応した、何百ものルールが収められたナレッジベースが備えられています。組み込まれたルールの一例として、リモートルートログインが有効になっているかどうかまたは脆弱なソフトウェアがインストールされていないかどうかをチェックするものがあります。これらのルールは AWS のセキュリティ研究者によって定期的に更新されます。

詳細については、Amazon Inspector 製品ページを参照してください。

AWS Key Management Service (KMS) は、データの暗号化に使用する暗号化キーを簡単に作成および管理できるマネージド型サービスで、キーのセキュリティを保護するために Hardware Security Modules (HSM) を使用します。AWS Key Management Service は、AWS の他のいくつかのサービスと統合されており、これらのサービスに保存したデータが保護されます。また AWS Key Management Service は AWS CloudTrail とも統合されており、すべてのキーの使用ログを表示できるため、規制およびコンプライアンスの要求に応えるために役立ちます。

詳細については、AWS Key Management Service (KMS) 製品ページを参照してください。

Amazon Macie は、機械学習によって AWS 内の機密データを自動的に検出、分類、保護するセキュリティサービスです。Amazon Macie では、個人情報 (PII) や知的財産などの機密データが認識されます。また、ダッシュボードやアラートが提供されるため、データのアクセスや移動状況を確認できます。この完全マネージドサービスでは、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスの危険や不注意によるデータ漏洩が検出された場合には詳細なアラートが生成されます。現在 Amazon Macie では、Amazon S3 に保存されたデータを保護できます。その他の AWS のデータストアについては今年の後半にサポートされる予定です。

詳細については、Amazon Macie 製品ページを参照してください。

AWS Organizations では、複数の AWS アカウントをポリシーベースで管理できます。AWS Organizations を使用して、アカウントのグループを作成し、グループにポリシーを適用できます。また、カスタムスクリプトや手動処理なしで、複数のアカウントに適用するポリシーを集中管理できます。

AWS Organizations を使用して、複数のアカウントで使用する AWS のサービスを集中管理するための、サービスコントロールポリシー (SCP) を作成できます。API を使用して新しいアカウントの作成を自動化することもできます。AWS Organizations では、一括請求 (コンソリデーティッドビリング) を使用して、組織内のすべてのアカウントに単一の支払い方法を設定し、複数のアカウントに対する請求を簡略化できます。すべての AWS のお客様は、追加料金なしで AWS Organizations を利用できます。

詳細については、AWS Organizations 製品ページを参照してください。

AWS シークレットマネージャーにより、アプリケーション、サービス、および IT リソースへのアクセスに必要なシークレットが保護されます。このサービスは、データベースの認証情報、API キー、その他のシークレットをそのライフサイクルを通して容易にローテーション、管理、取得できるようにします。ユーザーとアプリケーションはシークレットマネージャー API への呼び出しでシークレットを取得しますので、秘密情報をプレーンテキストでコードに書き込む必要がなくなります。シークレットマネージャーは Amazon RDS for MySQL、PostgreSQL、Amazon Aurora への統合を組み込むことで、シークレットのローテーションを提供します。また、このサービスは API キーや Oauth トークンと言った他のタイプのシークレットにも使えます。さらに、シークレットマネージャーは、AWS クラウド、サードパーティーサービス、オンプレミスのリソースに対して中央でのきめ細かいアクセス許可と、シークレットローテーションの監査を用いて、シークレットへのアクセスをお客様がコントロールできるようにします。

詳細については、AWS Firewall Manager 製品ページを参照してください»

AWS Shield はマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているウェブアプリケーションを保護します。AWS Shield ではアプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出と自動インライン緩和策を提供しているため、DDoS 保護のメリットを受けるために AWS サポートに従事する必要はありません。AWS Shield には "Standard" と "Advanced" の 2 つの階層があります。

すべての AWS のお客様は、追加料金なしで AWS Shield Standard の保護の適用を自動的に受けることができます。AWS Shield Standard では、ウェブサイトやアプリケーションを標的にした、最も一般的で頻繁に発生するネットワークおよびトランスポートレイヤーの DDoS 攻撃を防御します。

詳細については、AWS Shield 製品ページを参照してください。

AWS Single Sign-On (SSO) は、複数の AWS アカウントおよびビジネスアプリケーションへの SSO アクセスの一元管理を容易にするクラウド SSO サービスです。これにより、ユーザーは既存の社内認証情報を使用してユーザーポータルにサインインし、割り当てられたすべてのアカウントとアプリケーションに 1 か所からアクセスできます。AWS SSO では、AWS Organizations のすべてのアカウントへの SSO アクセスとユーザーアクセス権限の一元管理が簡単になります。さらに、AWS SSO アプリケーション設定ウィザードを使用することで、Security Assertion Markup Language (SAML) 2.0 の統合を作成し、SSO アクセスを任意の SAML 対応アプリケーションに拡張できます。AWS SSO には、Salesforce、Box、Office 365 など多くのビジネスアプリケーションに対する組み込みの SAML 統合が含まれています。クリック数回だけの操作により、独自の SSO インフラストラクチャを運用するための先行投資や継続的なメンテナンス費用なしで、可用性の高い SSO サービスを有効にできます。

詳細については、AWS シングルサインオン製品ページ »を参照してください。

AWS WAF は、アプリケーションの可用性低下、セキュリティの侵害、リソースの過剰消費などの一般的なウェブの脆弱性から、ウェブアプリケーションを保護する Web アプリケーションファイアウォールです。AWS WAF を使用すると、カスタマイズ可能なウェブセキュリティルールを指定することによって、どのトラフィックをウェブアプリケーションに許可またはブロックするかを制御できます。AWS WAF を使用して、SQL インジェクションまたはクロスサイトスクリプトのような一般的な攻撃パターンをブロックするカスタムルールおよび、特定のアプリケーションのために設計されるルールを作成できます。新しいルールは数分以内にデプロイされ、トラフィックパターンの変化にすばやく対応できるようにします。また、AWS WAF にはフル機能の API が含まれています。この API により、ウェブセキュリティルールの作成、デプロイ、メンテナンスを自動化することができます。

詳細については、AWS WAF 製品ページを参照してください。