コンテンツ分野 1: セキュアなアーキテクチャの設計

複数のアカウントにまたがるアクセス制御と管理

AWS フェデレーションアクセスとアイデンティティサービス (IAM、AWS IAM アイデンティティセンターなど)

AWS グローバルインフラストラクチャ (アベイラビリティーゾーン、AWS リージョンなど)

AWS セキュリティのベストプラクティス (最小権限の原則など)

AWS 責任共有モデル

AWS セキュリティのベストプラクティスを IAM ユーザーとルートユーザーに適用する [多要素認証 (MFA) など]。

IAM ユーザー、グループ、ロール、ポリシーを含む柔軟な認可モデルを設計する。

ロールベースのアクセスコントロール戦略 (AWS STS、ロールスイッチング、クロスアカウントアクセスなど) を設計する。

複数の AWS アカウント [AWS Control Tower、サービスコントロールポリシー (SCP) など] のセキュリティ戦略を設計する。

AWS のサービスに対するリソースポリシーの適切な使用を判断する。

IAM ロールを使用して Directory Service をフェデレートする場面を判断する。

アプリケーション設定と認証情報のセキュリティ

AWS サービスエンドポイント

AWS の制御ポート、プロトコル、ネットワークトラフィック

セキュアなアプリケーションアクセス

適切なユースケースを備えたセキュリティサービス (AWS Cognito、AWS GuardDuty、AWS Macie など)

AWS 外部の脅威ベクトル (DDoS、SQL インジェクションなど)

セキュリティコンポーネント (セキュリティグループ、ルートテーブル、ネットワーク ACL、NAT ゲートウェイなど) を使用した VPC アーキテクチャの設計

ネットワークセグメンテーション戦略の決定 (パブリックサブネットとプライベートサブネットの使用など)

AWS のサービスとの統合によるアプリケーションの保護 (AWS Shield、AWS WAF、IAM アイデンティティセンター、AWS Secrets Manager など)

AWS クラウドと外部ネットワーク接続の保護 (VPN、AWS Direct Connect など)

データアクセスとガバナンス

データ復旧

データ保持と分類

暗号化と適切なキー管理

コンプライアンス要件を満たすために AWS テクノロジーを調整する。

保管中のデータを暗号化する (AWS KMS など)。

転送中のデータを暗号化する [TLS を使用した AWS Certificate Manager (ACM) など]。

暗号化キーにアクセスポリシーを実装する。

データバックアップとレプリケーションを実装する。

データアクセス、ライフサイクル、保護に関するポリシーを実装する。

暗号化キーのローテーションと証明書を更新する。