SCS模擬試験04備忘録

• KMS
  • KMSキーを使おうとしてInvalidKeyIdエラーが出たら、それはKMSキーが無効。
  • GrantはキーポリシーとIAMロールと比較して一時的な権限付与に向いている。
• SSM
  • パラメータストアの標準パラメータは最大４KBで、10,000パラメータまで。
  • Secrets Managerは最大10KBで、リージョン内で最大500,000まで。
• CloudFront
  • ALBをオリジンとする場合はCloudFrontでカスタムヘッダを付与してALB側でヘッダがないときは拒否することで、セキュリティを向上できる。
  • user-agantヘッダは、リクエストがどのOSやブラウザから送信されたか表す。例えば、windows10,FireFoxなど。
• AD
  • ADFSはActive Directory Federation Servicesの略称であり、SSOを実現できるActive Directoryの機能。
  • ADはディレクトリ内で認証情報を管理する手法としてLDAP(Lightweight Directory Access Protocol)プロトコルを利用しており、LDAPサーバーとも呼ばれる。
  • LDAPサーバーを使ってIdP(IDプロバイダー)がユーザー認証できたら、ユーザーにSAMLアサーションを返す。
  • ユーザーは得られたSAMLアサーションを使って、STSオペレーションAssumeRoleWithSAMLを実行することで、各AWSリソースへのアクセス権限を得る。
• Cognito
  • HostedUIは認証ページを自作しなくても用意してくれる機能。
  • ユーザープールにAWFをアタッチして保護できる。
  • Lambdaトリガーはユーザープールで認証する前にLambda関数で認証フローを追加できる。
• IAM
  • IAMロールの一時的な認証情報を取り消して、これまでの一時的な認証を使えないようにする(アクティブなセッションの無効化)には、IAMロールにAWSRevokeOlderSessionsポリシーを付与する。ポリシー付与後30秒経過してから要求された一時的な認証は有効となる。
  • クロスアカウントアクセスは２アカウント作ったけど、片方のアカウントのIAMユーザー１つで両アカウントを利用したいときに使える考え方。
• Kinesis
  • Kinesisでログをリアルタイム収集してOpenSearchでログ分析とダッシュボード視覚化する構成がある。
• VPC
  • VPCフローログをCloudWatchLogsに送信してメトリクスに応じてアラームを起動させられる。