三歩あるけば物も忘れる - Aws:SecurityManagement
お腹のお肉がメタボックル
https://pg.mnztech.work/dokuwiki/
2026-04-15T03:37:12+00:00
三歩あるけば物も忘れる
https://pg.mnztech.work/dokuwiki/
https://pg.mnztech.work/dokuwiki/_media/logo.png
-
text/html
2022-05-30T00:49:53+00:00
Anonymous (anonymous@undisclosed.example.com)
10.適用手順-1.管理アカウント
https://pg.mnztech.work/dokuwiki/Aws/SecurityManagement/ApplicationProcedure-1.Managementaccount-1?rev=1653871793&do=diff
10.適用手順-1.管理アカウント
CloudShellから共通設定項目①を実施する。
Aws/セキュリティ管理/10.適用手順-共通項目①
CloudShellからCloudFormationで使用するロールを作成する。
CloudShellから以下を実行する。
信頼されたアクセスの有効化/管理の委任
-
text/html
2022-05-30T01:15:52+00:00
Anonymous (anonymous@undisclosed.example.com)
10.適用手順-2.委任先アカウント①
https://pg.mnztech.work/dokuwiki/Aws/SecurityManagement/ApplicationProcedure-2.DelegatedAccount-1?rev=1653873352&do=diff
10.適用手順-2.委任先アカウント①
CloudShellから共通設定項目①を実施する。
Aws/セキュリティ管理/10.適用手順-共通項目①
CloudShellからStackSets用バケット作成する。
CloudFormationから以下のテンプレートを実行する。
<https://pg.mnztech.work/dokuwiki/_media/cloudformation.zip>
委任先アカウント
-
text/html
2022-05-30T01:12:00+00:00
Anonymous (anonymous@undisclosed.example.com)
10.適用手順-3.委任先アカウント以外のメンバアカウント①
https://pg.mnztech.work/dokuwiki/Aws/SecurityManagement/ApplicationProcedure-3.OtherMemberAccounts-1?rev=1653873120&do=diff
10.適用手順-3.委任先アカウント以外のメンバアカウント①
CloudShellから共通設定項目①を実施する。
Aws/セキュリティ管理/10.適用手順-共通項目①
CloudShellから以下を実行する。
SecurityHub
AWS Organizations Security セキュリティプリセット
-
text/html
2022-05-27T00:18:56+00:00
Anonymous (anonymous@undisclosed.example.com)
10.適用手順-共通項目①
https://pg.mnztech.work/dokuwiki/Aws/SecurityManagement/ApplicationProcedure.Common-1?rev=1653610736&do=diff
10.適用手順-共通項目①
管理アカウント/全てのメンバアカウント共通で実施する項目を記載します。
CloudShellから以下を実行する。
AWS CloudShell Security セキュリティプリセット
-
text/html
2022-05-27T00:17:17+00:00
Anonymous (anonymous@undisclosed.example.com)
30.CloudTrail
https://pg.mnztech.work/dokuwiki/Aws/SecurityManagement/CloudTrail?rev=1653610637&do=diff
30.CloudTrail
予備知識
・証跡保存用のS3バケットが必要です。
・CloudWatchLogsと統合します。(IamPolicyとIamRoleも必要)
・Kmskeysで暗号化します。
予防的対策
標準対応項目
[CIS 2.2] CloudTrailのログファイル検証が有効になっていることを確認します
[CloudTrail.3] CloudTrailログファイルの検証を有効にする必要があります
[CloudTrail.4] CloudTrail ログファイルの検証が有効であることを確認する
[CIS 2.7] CloudTrail ログは保管時に、を使用して暗号化されていることを確認しますAWS KMS keys
[PCI.CloudTrail.1] CloudTrailログは、保存時に暗号化する必要がありますAWS KMS keys
[CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります
[CIS 2.4] CloudTrail がAmazon CloudWatch Logs と統合されていることを確認…
-
text/html
2022-05-27T00:17:28+00:00
Anonymous (anonymous@undisclosed.example.com)
93.EventBridge01
https://pg.mnztech.work/dokuwiki/Aws/SecurityManagement/EventBridge-CIS?rev=1653610648&do=diff
93.EventBridge01
CISの3.1~3.14についてEventBridgeに置き換えられないか検討してみた。
発見的対策
対応項目
[CIS 3.1] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します
EventBridgeワイルドカード使えない?ので、“errorCode”が含まれていたら全部取る?
-
text/html
2025-10-29T06:13:59+00:00
Anonymous (anonymous@undisclosed.example.com)
(書きかけ)93.EventBridge
https://pg.mnztech.work/dokuwiki/Aws/SecurityManagement/EventBridge-Others?rev=1761718439&do=diff
(書きかけ)93.EventBridge
「ログメトリクスフィルターとアラームが存在すること」系をEventBridgeに置き換えられないか検討してみた。
発見的対策
対応項目
Security Hub のイベント取得
Access Analyzer のイベント取得
GuardDuty のイベント取得
追加したConfigルールのチェック
-
text/html
2022-05-27T00:06:46+00:00
Anonymous (anonymous@undisclosed.example.com)
(書きかけ)10.IAM
https://pg.mnztech.work/dokuwiki/Aws/SecurityManagement/IAM?rev=1653610006&do=diff
(書きかけ)10.IAM
IAM関連の対応を以下に示す。
予防的対策
標準対応項目
コンソールポチポチ
発見的対策
Aws/SecurityHub/90.発見的対策
AWS SecurityHub CloudFormation IAM
-
text/html
2022-12-30T10:24:34+00:00
Anonymous (anonymous@undisclosed.example.com)
0.はじめに(AWSセキュリティセット)
https://pg.mnztech.work/dokuwiki/Aws/SecurityManagement/Introduction?rev=1672395874&do=diff
0.はじめに(AWSセキュリティセット)
はじめに
マルチアカウント構成のセキュリティ基準を設けることで、セキュリティ統制を図る目的で記載している。
セキュリティ統制の適用については、抜け漏れ防止や設定ミスが起こらないようコード化を取り入れている。SecurityManagement index
-
text/html
2022-05-27T00:19:11+00:00
Anonymous (anonymous@undisclosed.example.com)
99.ナレッジ
https://pg.mnztech.work/dokuwiki/Aws/SecurityManagement/Knowledge?rev=1653610751&do=diff
99.ナレッジ
特定リージョンだけに適用したい場合は?
AWS ナレッジ
-
text/html
2022-05-27T00:17:05+00:00
Anonymous (anonymous@undisclosed.example.com)
10.S3
https://pg.mnztech.work/dokuwiki/Aws/SecurityManagement/S3?rev=1653610625&do=diff
10.S3
S3関連の対応を以下に示す。
予防的対策
標準対応項目
[CIS 2.3] CloudTrail ログが記録する S3 バケットがパブリックにアクセスできないことを確認します
[PCI.S3.1] S3 バケットはパブリック書き込みアクセスを禁止する必要があります
[PCI.S3.2] S3 バケットではパブリック読み取りアクセスを禁止する必要があります
[PCI.S3.6] S3 ブロックパブリックアクセス設定を有効にする必要があります
[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要があります
[S3.2] S3 バケットではパブリック読み取りアクセスを禁止する必要があります
[S3.3] S3 バケットはパブリック書き込みアクセスを禁止する必要があります
[S3.8] S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります
[PCI.S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります
[S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります
[PCI.S3.5]…
-
text/html
2022-05-27T00:18:10+00:00
Anonymous (anonymous@undisclosed.example.com)
01.SecurityHub設定および準拠方針
https://pg.mnztech.work/dokuwiki/Aws/SecurityManagement/SecurityHubSettingsAndCompliancePolicy?rev=1653610690&do=diff
01.SecurityHub設定および準拠方針
SecurityHub設定および準拠方針を記載する。
検討資料
準拠方針
①SecurityHubを全リージョンで有効化し、以下の項目を有効化する。
AWS 基礎セキュリティのベストプラクティス v1.0.0 を有効化