Timberborn update6 – Wonders of Water 追加された機能を紹介おすすめmodも

PlayStation 5の画面が映らない

EAアカウント　ティーン用EAアカウント　APEXができなくなった

初心者がVAMPIRE SURVIVORSにはまり色々調査　ステップで紹介完(iphone版)

インフィニティキングダム / 知識の殿堂（学識大会）[継続更新]

ADEL33 出演者謎の美少女 ADEL。みんなみよう！！シーズン１終了 #ADEL33 たまに更新

リアルタイムで電車の混雑情報を調べる（追記/2023年）

群馬県桐生市出身の有名人リスト：文化人・芸能人・地元企業まとめ

ライキン国士無双回答まとめ

初心者必見！無課金でライキン / RISE OF KINGDOMS　政庁２４/戦力1000万やっと超えました

妖怪ウォッチ３　イカダ下りの放置プレイで水虎をゲットできるか？

たまひよのＣＭが好き

AWS SAA-C03試験対策｜アーキテクチャ編①[都度更新]

雑記

2025.08.31

スポンサーリンク

AWS SAA-C03試験対策｜アーキテクチャについて、まとめています。自分のアウトプットです！

目次

1. ネットワーク（VPC, セキュリティグループ, NACL）
2. セキュリティ

1. ネットワーク（VPC, セキュリティグループ, NACL）

VPC (Virtual Private Cloud)

概要: AWSクラウド内に隔離された仮想ネットワークを構築するサービス。IPアドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどを定義する。
重要ポイント: サブネットはアベイラビリティゾーン（AZ）に紐づく。インターネットに接続するにはインターネットゲートウェイ、オンプレミスに接続するにはVPCピアリングやDirect Connect, Site-to-Site VPNを使用する。

セキュリティグループ (Security Group)

概要: EC2インスタンスなど、リソースレベルでトラフィックを制御するステートフルな仮想ファイアウォール。
重要ポイント:
- インバウンド/アウトバウンドルール: 許可するトラフィックのみを定義（デフォルトはすべて拒否）。
- ステートフル: インバウンドで許可されたトラフィックに対する応答トラフィックは、アウトバウンドルールに関わらず自動的に許可される。

NACL (Network Access Control List)

概要: サブネットレベルでトラフィックを制御するステートレスな仮想ファイアウォール。
重要ポイント:
- インバウンド/アウトバウンドルール: 許可と拒否の両方を定義できる。
- ステートレス: インバウンドで許可されたトラフィックの応答は、アウトバウンドルールで明示的に許可する必要がある。
- エフェメラルポート: クライアントからサーバーへの通信では、クライアント側のポートが動的に割り当てられるため、NACLのアウトバウンドルールでエフェメラルポート範囲を許可する必要がある。

VPC エンドポイント

概要: インターネットゲートウェイやNATデバイスを使わずに、VPC内からAWSサービスにプライベートに接続できるサービス。
種類:
- ゲートウェイタイプ: S3とDynamoDBにのみ対応。ルートテーブルにエントリを追加する。
- インターフェイスタイプ: プライベートIPアドレスを持つElastic Network Interface (ENI)を作成する。多くのAWSサービスに対応。

Transit Gateway

概要: 多数のVPCやオンプレミスネットワークを接続し、ルーティングを中央で管理するハブのような役割を果たすサービス。複雑なネットワーク構成を簡素化する。

2. セキュリティ

WAF (Web Application Firewall), AWS Network Firewall, AWS Firewall Manager

WAF (Web Application Firewall): Webアプリケーションの脆弱性（SQLインジェクション、XSSなど）から保護するルールを定義。CloudFront, ALB, API Gatewayと連携する。
AWS Network Firewall: VPC内でトラフィックを検査するマネージドなファイアウォールサービス。ステートフルおよびステートレスなトラフィックフィルタリング、侵入検知、侵入防止機能を提供する。
AWS Firewall Manager: WAF、Shield、Network Firewallなどのセキュリティルールを一元的に管理するサービス。マルチアカウント環境でのセキュリティ管理を簡素化する。

IDとアクセス管理 (IAM)

IAM (Identity and Access Management): AWSリソースへのアクセスを安全に管理。
- IAMユーザー: 個々のユーザー。
- IAMグループ: 複数のIAMユーザーをまとめて管理し、共通のIAMポリシーを適用する。
- IAMロール: EC2インスタンスやLambda関数など、AWSサービスが一時的な認証情報を使用して他のAWSリソースにアクセスするための仕組み。IAMロールはアクセスキーIDを持たない。
- IAMポリシー: ユーザー、グループ、ロールにアタッチして、アクセス権限を定義する。
- ポリシーの評価方法: 複数のポリシーが適用される場合、**明示的な拒否（Explicit Deny）が明示的な許可（Explicit Allow）**よりも優先される。

IAM Identity Center (旧 AWS SSO)

概要: AWS Organizations内の複数のアカウントおよびクラウドアプリケーションへのアクセスを一元管理するサービス。シングルサインオン（SSO）を可能にする。

データの暗号化

KMS (Key Management Service): 暗号化キーの作成、管理、利用を安全に行うサービス。S3やEBSなど、他のAWSサービスと連携して利用される。

セキュリティコントロール（予防的・発見的・プロアクティブ）

予防的コントロール (Preventive Controls): 意図しないアクションを防ぐためのコントロール。
- 例: IAMポリシー、SCP (Service Control Policies)
発見的コントロール (Detective Controls): アクションが行われた後で、その事実を検出するためのコントロール。
- 例: CloudTrail, Config, GuardDuty
プロアクティブコントロール (Proactive Controls): アクションが実行される前に、リスクを評価し、潜在的な問題を特定する。
- 例: Control TowerのGuardrails（予防的・発見的の両方を持つ）

3. モニタリングとログ

CloudWatch: AWSリソースとアプリケーションの監視サービス。メトリクスを収集し、アラームを設定できる。
CloudTrail: AWSアカウント内で行われたAPIコールの履歴を記録。ガバナンス、コンプライアンス、監査、セキュリティ分析に役立つ。
Config: AWSリソースの設定変更を記録し、設定のコンプライアンスを評価する。
Amazon Inspector: EC2インスタンスのOSやアプリケーションの脆弱性を評価する。
Amazon Macie: S3バケット内の機密データを検出するサービス。
GuardDuty: 悪意のあるアクティビティや不正な動作を継続的に監視する脅威検出サービス。
EventBridge: アプリケーション、AWSサービス、SaaSアプリケーションからのイベントをルーティングし、ルールに基づいてターゲットに送信する。

4. マルチアカウント戦略とガバナンス

マルチアカウント戦略: セキュリティ、運用、請求を分離するために複数のAWSアカウントを使用する。
Organizations: 複数のAWSアカウントをグループ化し、一元管理する。
SCP (Service Control Policies): Organizationsの管理機能。OU（組織単位）やアカウント全体に適用し、IAMポリシーで付与できる最大権限を制限する。
Control Tower: マルチアカウント環境のセットアップと管理を自動化し、ベストプラクティスに基づいたランディングゾーンを構築する。

5. その他の重要サービス

Systems Manager: AWSリソースの運用管理を簡素化。パッチ適用、自動化、リソース管理など。
Secrets Manager: データベースの認証情報、APIキー、その他のシークレットを安全に管理するサービス。
Cognito: Webおよびモバイルアプリ向けの認証、認可、ユーザー管理サービス。