type
status
date
slug
summary
tags
category
icon
password
理論
AWS Systems Manager Parameter Store
概要
AWS Systems Manager Parameter Store は、機密情報や設定情報を安全に管理するためのサービスです。パラメータストアは、アプリケーションの設定、データベースの認証情報、API キーなどの情報を保存し、AWS リソースやアプリケーションで安全に利用できるようにします。
主な機能
- 設定管理:
- アプリケーションの設定や環境変数を管理します。これにより、アプリケーションの変更を簡単に反映させ、設定ミスを減らすことができます。
- セキュアな情報管理:
- パスワードや認証情報など、機密情報を 暗号化 して保存できます。AWS KMS (Key Management Service) を使用して、暗号化されたパラメータを安全に管理します。
- パラメータのバージョン管理:
- パラメータの履歴を管理できるため、過去の設定に戻すことも可能です。
- アクセス制御:
- IAM ポリシー を使用して、誰がどのパラメータにアクセスできるかを細かく制御できます。これにより、機密情報のセキュリティが強化されます。
AWS WAF 管理における利用
- Parameter Store は、AWS Firewall Manager で管理する複数の AWS アカウントや組織単位(OU)に対して、動的にパラメータ(例えば、アカウント番号や OU のリスト)を管理するために使用できます。これにより、複数のアカウントにまたがる WAF ルールを一元的に管理し、変更を迅速に反映させることができます。
AWS Firewall Manager
概要
AWS Firewall Manager は、複数の AWS アカウントにまたがるセキュリティルールを一元的に管理するサービスです。特に、AWS WAF(Web Application Firewall)や AWS Shield(DDoS 保護)などのセキュリティサービスを一括で管理し、組織全体で一貫したセキュリティポリシーを適用することができます。
主な機能
- 統合管理:
- AWS WAF のルールセットを複数の AWS アカウントで一括で管理・適用できます。これにより、個別のアカウントでルールを設定する手間を省き、ポリシーの一貫性を保つことができます。
- 自動適用:
- Firewall Manager を使用すると、AWS Organizations 内のすべてのアカウントや組織単位(OU)に対して、AWS WAF ルールを自動的に適用できます。新しいアカウントが追加された場合でも、セキュリティルールを一貫して適用することができます。
- ポリシー管理:
- 複数のセキュリティポリシーを作成し、それらを AWS WAF や Shield Advanced に適用できます。Firewall Manager では、ポリシーに従ってセキュリティルールを管理し、コンプライアンス違反が発生した場合には通知を受け取ることができます。
- コンプライアンスの監視と自動修復:
- 非準拠リソース に対して自動的に修復アクションを実行できます。例えば、WAF ルールが適用されていないリソースに対して、ポリシーを強制的に適用することができます。
AWS WAF と Firewall Manager の統合
- Firewall Manager を使うと、AWS WAF のルール管理が効率化され、組織内で一貫性のあるセキュリティを保ちながら、ルールの適用や変更が自動化されます。
- Parameter Store と組み合わせることで、ルール適用対象となるアカウントや OU を動的に管理することができます。この仕組みにより、新しいアカウントや OU を追加した際にも、手動で WAF ルールを適用する必要がなくなります。
実際の運用例
- AWS Firewall Manager で複数のアカウントに対する統一的な WAF ルールを管理します。
- AWS Systems Manager Parameter Store にアカウント情報(アカウントIDやOU名)を保存します。
- 新しいアカウントが追加されると、Parameter Store の情報が更新されます。
- Amazon EventBridge がこの更新を検知し、AWS Lambda を呼び出します。
- Lambda 関数が新しいアカウントに対して、同じ WAF ルールを自動的に適用します。
この流れで、新しいアカウントが追加されるたびに WAF ルールが自動的に適用され、管理の手間が減ります。
実践
略
一問道場
質問 #110
トピック 1
ある企業が、複数のAWSアカウントにわたってAWS WAFルールを管理するためにAWS WAFソリューションを展開したいと考えています。アカウントはAWS Organizations内で異なるOU(組織単位)で管理されています。
管理者は、必要に応じて管理されているAWS WAFルールセットにアカウントやOUを追加または削除できる必要があります。また、管理者はすべてのアカウントにおいて非準拠のAWS WAFルールを自動的に更新および修正できる必要があります。
最小の運用負荷でこれらの要件を満たすソリューションはどれですか?
A. AWS Firewall Managerを使用して、組織内のアカウント間でAWS WAFルールを管理します。AWS Systems Manager Parameter Storeパラメータを使用して、アカウント番号とOUを管理します。必要に応じてパラメータを更新してアカウントやOUを追加または削除します。パラメータの変更を識別するためにAmazon EventBridgeルールを使用し、AWS Lambda関数を呼び出してFirewall Managerの管理アカウントでセキュリティポリシーを更新します。
B. 組織内の選択したOUのすべてのリソースにAWS WAFルールを関連付けることを要求するAWS Configルールを展開します。AWS Lambdaを使用して非準拠のリソースを修正する自動修正アクションを展開します。AWS CloudFormationスタックセットを使用して、AWS Configルールが適用された同じOUにAWS WAFルールを展開します。
C. 組織の管理アカウントでAWS WAFルールを作成します。AWS Lambdaの環境変数を使用してアカウント番号とOUを管理します。必要に応じて環境変数を更新してアカウントやOUを追加または削除します。メンバーアカウントにクロスアカウントIAMロールを作成します。Lambda関数でAWS Security Token Service(AWS STS)を使用してロールを引き受け、メンバーアカウント内でAWS WAFルールを作成および更新します。
D. AWS Control Towerを使用して、組織内のアカウント間でAWS WAFルールを管理します。AWS Key Management Service(AWS KMS)を使用してアカウント番号とOUを管理します。必要に応じてAWS KMSを更新してアカウントやOUを追加または削除します。メンバーアカウントにIAMユーザーを作成します。管理アカウントでAWS Control Towerがアクセスキーとシークレットアクセスキーを使用して、メンバーアカウントのAWS WAFルールを作成および更新できるようにします。
解説
この質問の解説は、AWSの各サービスをどのように活用して、要件を満たすかに関するものです。要件としては、複数のAWSアカウントにわたってAWS WAFルールを管理し、アカウントやOUの追加・削除、非準拠なWAFルールの自動更新・修正を行う必要があります。最小の運用負荷を目指すため、管理の簡便さと自動化が重視されます。
各選択肢の解説
A. AWS Firewall Manager + Parameter Store + EventBridge + Lambda
- 概要: AWS Firewall Managerを使用して、組織内の複数のアカウントにAWS WAFルールを一元管理します。アカウントやOUの情報はAWS Systems Manager Parameter Storeに格納し、EventBridgeを使ってその変化を検知してLambda関数をトリガーし、Firewall ManagerでWAFルールを更新します。
- メリット:
- Firewall Managerは、AWS Organizations内の複数アカウントのWAFルールを簡単に管理できます。
- Parameter Storeにアカウント情報やOUを管理することで、シンプルかつ動的に管理が可能です。
- EventBridgeにより、パラメータの変更(アカウントやOUの追加・削除)が検知され、Lambdaを使って自動でWAFルールの適用を行えます。
- 自動化により、手動での更新作業が不要になり、運用負荷が低減します。
- 最小の運用負荷を実現するため、非常に効率的なソリューションです。
B. AWS Config + Lambda + CloudFormation
- 概要: AWS Configルールを使って、特定のOU内のリソースがAWS WAFルールを関連付けるように強制します。非準拠のリソースが検出された場合、自動的に修正するためのAWS Lambda関数を使い、AWS CloudFormationでWAFルールをOUに展開します。
- メリット:
- AWS Configは、リソースが規定のルールに従っているかを監視できます。
- 非準拠のリソースを自動修正できるため、セキュリティが保たれます。
- デメリット:
- ConfigルールとLambdaを使って修正を行う方法は、少し複雑で運用負荷が増える可能性があります。
- CloudFormationでの展開は、手動での調整が必要になる場合があり、柔軟性に欠けるかもしれません。
C. 管理アカウントでWAFルール作成 + Lambda + クロスアカウントロール
- 概要: 管理アカウントでAWS WAFルールを作成し、Lambda関数でアカウント情報やOUを管理する環境変数を使って、メンバーアカウントでクロスアカウントロールを利用してWAFルールを適用・更新します。
- メリット:
- Lambdaを使って柔軟にアカウント管理やWAFルールの適用が可能です。
- デメリット:
- クロスアカウントロールの設定が煩雑になり、運用が複雑になる可能性があります。
- Lambda関数の環境変数の管理が手動で行う必要があり、柔軟性が損なわれる可能性があります。
D. AWS Control Tower + AWS KMS + IAMユーザー
- 概要: AWS Control Towerを使って複数のアカウントのWAFルールを管理します。AWS KMSを使ってアカウント情報やOUを管理し、IAMユーザーを使ってメンバーアカウントのWAFルールを更新します。
- メリット:
- AWS Control Towerは、組織内でのガバナンスや自動化に優れた管理機能を提供します。
- KMSを使った暗号化やアクセス管理が可能ですが、IAMユーザーを作成する手間がかかります。
- デメリット:
- Control Towerを使用するのは、既にControl Towerを利用している場合には有効ですが、初期のセットアップが複雑になることがあります。
- IAMユーザーを個別に作成しアクセスキーを管理する方法は、セキュリティ管理において手間がかかり、運用負荷が高くなる可能性があります。
結論
選択肢Aが最適なソリューションです。理由としては、AWS Firewall Managerによる一元的なWAFルールの管理、AWS Systems Manager Parameter Storeによるアカウント情報の動的管理、EventBridgeを活用した自動化の流れが最も効率的で、運用負荷を最小化できるからです。他の選択肢は、手動での設定や管理が必要であったり、運用が複雑になったりするため、最小限の運用負荷を目指す要件には適していません。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/16dd7ae8-88e2-8075-bcc2-c96c643f4342
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
