AWS IAM
AWSリソースへのアクセスを管理する認証・認可サービス。ユーザー/グループ/ロール/ポリシーで「誰が」「何に」「何をできるか」を制御。全てのセキュリティの基盤。
基本原則: 最小権限の原則(必要最低限の権限のみ付与)
ロール: EC2やLambdaにAWSサービスへのアクセス権限を付与(アクセスキーをコードに書くのは絶対NG)
ポリシー種類: アイデンティティベース / リソースベース / SCP / パーミッションバウンダリー
試験頻出: EC2からS3等へのアクセスは必ずIAMロール。クロスアカウントアクセスもロール+STS AssumeRole。アクセスキーをEC2に置く選択肢は常にNG
IAM ポリシー評価
複数のポリシーが適用される場合の評価ロジック。「デフォルト拒否→明示的拒否が最優先→明示的許可」の3段階で判定される。
SCP(サービスコントロールポリシー): Organizations内のアカウントレベルで最大権限を制限するガードレール。権限を付与するのではなく上限を制限
パーミッションバウンダリー: IAMユーザー/ロールの最大権限を制限。「開発者が自分でロールを作れるが、特定権限は超えられない」
試験頻出: SCPで拒否→IAMで許可してもアクセス不可。「部門ごとにアクセス制限」→SCP、「開発者の最大権限を制限」→パーミッションバウンダリー
AWS STS
一時的なセキュリティ認証情報(アクセスキー+シークレットキー+セッショントークン)を発行するサービス。有効期限付きで、長期認証情報より安全。
AssumeRole: 別のIAMロールの権限を一時的に引き受ける。クロスアカウントアクセスやフェデレーションに使用
・常に一時認証情報を推奨(長期アクセスキーはリスク)
試験頻出: 「別アカウントのリソースにアクセス」→STS AssumeRole。外部IdPからのフェデレーション認証にも使用
IAM Roles Anywhere
AWSの外(オンプレサーバー・他クラウド・コンテナ)のワークロードに、X.509証明書を使ってIAMロールの一時認証情報を取得させる仕組み。長期アクセスキーを配らずに済む。
・信頼アンカーに認証局(CA)を登録し、その証明書を持つ外部ワークロードを信頼
・証明書で認証 → STSで一時認証情報を取得 → AWSへアクセス
・オンプレ等にIAMアクセスキーを置かずに済む(キー漏洩リスクを排除)
試験頻出: 「オンプレ/他クラウドのサーバーに長期アクセスキーを置かずAWSアクセス」→IAM Roles Anywhere(証明書ベース)。AWS内のEC2ならIAMロールで十分
AWS KMS
暗号化キーの作成・管理・ローテーションを行うサービス。S3/EBS/RDS等のAWSサービスと統合して、データの暗号化を一元管理。
CMK(カスタマーマスターキー): AWS管理キー / カスタマー管理キー / AWS所有キー
S3暗号化方式: SSE-S3(S3管理,簡単) / SSE-KMS(監査可能,CloudTrailで追跡) / SSE-C(顧客提供キー)
・キーローテーション: カスタマー管理キーは年1回自動ローテーション設定可能
試験頻出: 「暗号化の監査」「キーの使用を追跡」→SSE-KMS一択。「とりあえず暗号化」→SSE-S3。「自社キー完全管理」→SSE-C
Secrets Manager
データベースのパスワードやAPIキーなどのシークレットを安全に保存・取得・自動ローテーションするサービス。RDS/Redshift/DocumentDBと統合してパスワードを自動更新。
・自動ローテーション: Lambda関数を使って定期的にパスワードを自動変更
・RDS/Aurora/Redshiftとのネイティブ統合
・Parameter Store(無料)との違い: 自動ローテーション機能の有無が最大の差
試験頻出: 「RDSパスワードの自動ローテーション」→Secrets Manager / 「設定値・環境変数の管理(無料)」→Parameter Store
ACM
SSL/TLS証明書の発行・管理・自動更新を行うサービス。パブリック証明書は無料で発行でき、ELB/CloudFront/API Gatewayにワンクリックで統合。
・パブリック証明書: 無料。DNS検証 or メール検証
・自動更新: 有効期限前に自動で証明書を更新
・統合先: ALB/NLB/CloudFront/API Gateway。EC2には直接使えない(EC2上で手動管理が必要)
試験頻出: 「HTTPS化」「SSL証明書」→ACM。CloudFrontで使う場合はus-east-1リージョンでACM証明書を作成する必要あり
AWS WAF
L7(HTTP/HTTPS)レベルでリクエストをフィルタリングするWebアプリケーションファイアウォール。SQLインジェクション、XSS、IPブロック、レート制限などのルールを定義。
・マネージドルール: AWSやサードパーティが提供する定義済みルールセット
・適用先: ALB / CloudFront / API Gateway / AppSync
・Web ACL: ルールの集合。Allow/Block/Countのアクション
試験頻出: 「SQLインジェクション防止」「特定IPブロック」「レート制限」→WAF。NW層(L3/L4)の保護→SG/NACL。DDoS→Shield
AWS Shield
DDoS攻撃からAWSリソースを保護するサービス。StandardはL3/L4の基本保護を無料・自動で提供。Advancedは高度な保護と24/7専門チームサポート。
Shield Standard: 無料。自動有効。L3/L4レベルのDDoS保護
Shield Advanced: 有料($3,000/月)。高度なL3-L7保護、DRT(DDoS Response Team)の24/7サポート、DDoS攻撃によるコスト増の保護
試験頻出: 「DDoS対策」→Shield。「24/7専門チーム」「コスト保護」→Shield Advanced。CloudFront+Shield+WAF=セキュリティ3点セット
Amazon GuardDuty
VPC Flow Logs/CloudTrail/DNS Logsを機械学習で自動分析し、不正アクセスや異常行動を検出する脅威検出サービス。有効にするだけで設定不要。
・検出例: 暗号通貨マイニング、不正なAPI呼び出し、ブルートフォース攻撃、C&C通信
・EventBridge連携で検出時にLambdaで自動対処(IPブロック等)
・Organizations統合でマルチアカウント一元管理
試験頻出: 「不正アクセスの検出」「悪意のあるアクティビティ」→GuardDuty。Inspector(脆弱性スキャン)、Macie(S3データ分類)との違いを整理
Amazon Inspector
EC2インスタンスやコンテナイメージのソフトウェア脆弱性(CVE)とネットワーク到達可能性を自動スキャンするサービス。結果をSeverity付きでレポート。
・EC2: SSMエージェント経由でOS/パッケージの脆弱性を検出
・ECR: コンテナイメージのプッシュ時に自動スキャン
・Lambda: 関数コードとレイヤーの脆弱性を検出
試験頻出: GuardDuty=外部攻撃の検出(脅威インテリジェンス)、Inspector=内部の脆弱性スキャン(パッチ漏れ等)の違い
Amazon Macie
S3バケット内の機密データ(PII: 個人情報、クレジットカード番号、マイナンバー等)を機械学習で自動検出・分類するサービス。データプライバシーとコンプライアンス対応。
・S3バケットのインベントリと暗号化/公開状態の可視化
・カスタムデータ識別子の定義も可能
・検出結果をEventBridge→SNS等で通知
試験頻出: 「S3に個人情報が含まれていないか」「データ分類」「PII検出」→Macie。S3に特化した機密データ検出
IAM Identity Center
複数のAWSアカウントやビジネスアプリケーションへのシングルサインオン(SSO)を提供するサービス。旧名AWS SSO。Organizations配下のアカウントに一元的なアクセス管理。
・Organizations配下の全アカウントに1回のログインでアクセス
・社内Active DirectoryやSAML2.0対応の外部IdP(Okta等)と統合可能
・アクセス許可セットで各アカウントの権限を定義
試験頻出: 「マルチアカウントの一元アクセス管理」「SSO」→IAM Identity Center
Amazon Cognito
Web/モバイルアプリにユーザー認証・認可機能を追加するサービス。ユーザー登録・ログイン・MFA、そしてAWSリソースへの一時的なアクセス権限の付与を提供。
User Pool: ユーザーの登録・ログイン・MFA。JWTトークンを発行。認証(Authentication)
Identity Pool: User Poolや外部IdPのトークンを元に、一時的なAWS認証情報(STS)を発行。認可(Authorization)
試験頻出: 典型パターン: User Poolでログイン→トークン取得→Identity Poolで一時AWS認証情報→S3/DynamoDB等にアクセス。「モバイルアプリからAWSリソース」→Cognito
Directory Service
マネージドなActive Directoryを提供するサービス。Windowsワークロードのドメイン参加・SSO・グループポリシー管理をAWS上で実現。オンプレADとの連携も可能。
AWS Managed Microsoft AD: 本物のMicrosoft AD。オンプレADと信頼関係構築可。FSx for Windows / RDS for SQL Server / WorkSpacesと統合
AD Connector: オンプレADへのプロキシ(認証をオンプレに転送、ADはクラウドに置かない)
Simple AD: Samba互換の小規模・低コスト版(一部AD機能のみ)
試験頻出: 「FSx for Windows / SQL ServerにAD統合」→Managed Microsoft AD。「オンプレADの認証をそのまま使う」→AD Connector
Network Firewall / Firewall Manager
VPC全体を保護するマネージドネットワークファイアウォール(L3-L7)と、複数アカウント横断でセキュリティポリシーを一元管理するFirewall Manager。
Network Firewall: VPC境界でステートフルな侵入検知/防止(IDS/IPS)、ドメインフィルタリング、トラフィック制御
Firewall Manager: Organizations配下の全アカウントにWAF / Shield Advanced / Network Firewall / SGのルールを一括適用・統制
試験頻出: 「VPC全体のIDS/IPS・送信先ドメイン制御」→Network Firewall。「複数アカウントのWAF/FWルールを一元管理」→Firewall Manager
Amazon Detective
GuardDuty等が検出したセキュリティ問題の根本原因を分析・調査するサービス。ログを自動でグラフ化し、関連するイベントを可視化して原因究明を支援する。
・VPC Flow Logs / CloudTrail / GuardDuty検出結果を自動で関連付け
・エンティティ(IP/ユーザー/リソース)ごとの挙動を時系列で可視化
・MLで通常の挙動からの逸脱を分析
試験頻出: GuardDuty=検出、Detective=原因の深掘り調査、Inspector=脆弱性スキャン、Macie=S3機密データ。「インシデントの根本原因分析」→Detective
Security Hub
GuardDuty・Inspector・Macie等の検出結果や、各種セキュリティ基準のチェックを1か所に集約し、優先度付きで一元管理するセキュリティ統合ダッシュボード。
・複数のセキュリティサービスの結果を統合(ASFF形式)
・CISベンチマーク/AWS基礎セキュリティ/PCI DSS等の自動チェック
・重要度でスコアリング、EventBridgeで自動対応
・Organizationsで全アカウントを一元集約
試験頻出: 「複数のセキュリティサービスの検出結果を一元管理・組織のセキュリティ体制を可視化」→Security Hub。検出はGuardDuty、原因調査はDetective