book

AWS におけるセキュリティとマイクロサービスアーキテクチャ

by Gaurav Raje

May 2025

Beginner to intermediate

396 pages

6h 11m

Japanese

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

本書の目標この本を使うべき人本書で使用されている慣例コード例を使うオライリー・オンライン・ラーニング問い合わせ先謝辞
クラウド情報セキュリティの基本リスクとセキュリティ管理組織のセキュリティ・ポリシーインシデントとCIAトライアドAWS共有モデルクラウドアーキテクチャとセキュリティモジュール化によるセキュリティシンプルさによるセキュリティフルマネージドAWSサービスによるセキュリティ爆風半径、隔離、密室の類似性多層防御とセキュリティ周辺保護によるセキュリティゼロトラスト・アーキテクチャによるセキュリティソフトウェアアーキテクチャ入門ティアベースのアーキテクチャドメイン駆動設計マイクロサービスAWS上でのマイクロサービスの実装コンテナベースのマイクロサービスアーキテクチャKubernetesの超簡単な紹介サービスとしての関数：AWS Lambdaを使ったFaaSクラウドマイクロサービス実装の概要アマゾンEKSアマゾンEKSファーゲートモードAWS Lambdaを使用したサービスとしての関数マイクロサービス実装のまとめマイクロサービスのコミュニケーションパターンの例例1：コンテキスト間の単純なメッセージの受け渡し例2：メッセージキュー例3：イベントベースのマイクロサービス概要
AWSアイデンティティとアクセス管理の基本プリンシパル on AWSIAMポリシー最小権限の原則PoLPとブラスト半径AWS IAMポリシーの構造プリンシパルベースのポリシーリソースベース・ポリシー信頼のゾーン政策の評価AWS IAMポリシーの高度な概念IAMポリシー条件付きAWSタグと属性ベースのアクセス制御"Not "ポリシー要素：NotPrincipal と NotResourceIAMポリシーをまとめる役割ベースのアクセス制御RBACモデリング役割を確保する役割を想定するAWSコマンドラインインタフェース（CLI）を使って行を割り当てるAWSマネジメントコンソールを使ってロールを切り替えるサービスと連動した役割認証とアイデンティティ管理認証の基本AWS上のアイデンティティ・フェデレーションSAML 2.0 と OpenID Connect を使用した ID フェデレーションRBACとマイクロサービス実行の役割AWS LambdaによるRBACEC2とインスタンスメタデータサービスによるRBACAmazon EKSでサービスアカウントにIAMロールを使ってRBACを行う概要
暗号化の概要なぜAWSでは暗号化が重要なのか？なぜマイクロサービスアーキテクチャにとって暗号化が重要なのか？AWSにおける暗号化鍵ベースの暗号化におけるセキュリティの課題ビジネス上の問題AWS鍵管理サービスCMKを使った基本的な暗号化エンベロープ暗号化エンベロープ暗号化の実例セキュリティとAWS KMSKMSコンテキストと追加認証データ主要政策補助金とViaServiceCMKとそのコンポーネント、そしてサポートされるアクション地域とKMSコスト、複雑さ、規制に関する考察非対称暗号化とKMS暗号化と復号化デジタル署名（署名と検証）ドメイン駆動設計とAWS KMSコンテキストの境界と暗号化アカウントとCMKの共有KMSとNetworkに関する考察KMS補助金再訪KMSアカウントとトポロジー：すべてを結びつけるオプション1：境界づけられたコンテキストにCMKを含めるオプション2：CMKを保有する専用口座を使うAWSシークレットマネージャーシークレット・マネージャーの仕組みAWS Secrets Managerにおける秘密の保護概要
データ分類の基本KMSを使ったエンベロープ暗号化のまとめAWSシンプル・ストレージ・サービスAWS S3での暗号化S3バケットポリシーによるAmazon S3へのアクセス制御Amazon GuardDutyGlacier Vault Lockを使用した否認防止機能コンピュート・サービスの安静時のセキュリティAWS CodeGuruを使った静的コード解析AWS Elastic ContainerレジストリAWS LambdaAWSエラスティック・ブロックストアすべてを結びつけるマイクロサービスデータベースシステムAWS DynamoDBアマゾン・オーロラ・リレーショナル・データ・サービスメディアのサニタイゼーションとデータの削除概要
AWSでのNetworkingコントロールモノリスモデルとマイクロサービスモデルを理解するセグメンテーションとマイクロサービスソフトウェア定義ネットワーク・パーティションサブネットサブネット内のルーティングゲートウェイとサブネットパブリック・サブネットプライベート・サブネットサブネットとアベイラビリティゾーンサブネットのインターネットアクセス仮想プライベートクラウドVPCでのルーティングネットワーク+レイヤーでのマイクロセグメンテーションクロスVPC通信VPCピアリングAWSトランジットゲートウェイVPCエンドポイントクロスVPC通信のまとめクラウド上のファイアウォール等価性セキュリティ・グループセキュリティ・グループ参照（チェイニング）とデザインセキュリティ・グループのプロパティネットワークアクセス制御リストセキュリティグループとNACLの比較コンテナとネットワークセキュリティブロックインスタンスメタデータサービスプライベートサブネットでPodを実行してみる必要な場合を除き、ブロックする。P+間で暗号化されたネットワークを使用するLambdaとネットワーク・セキュリティ概要
APIファースト設計とAPIゲートウェイAWS APIゲートウェイAWS APIゲートウェイのエンドポイントの種類APIゲートウェイの保護APIゲートウェイ統合APIゲートウェイでのアクセス制御APIゲートウェイ上のインフラセキュリティAWSのAPIゲートウェイを利用する際のコストに関する考察バスティオンホスト解決策静的資産配信（コンテンツ配信ネットワーク）AWS CloudFront署名されたURLまたはクッキーAWS Lambda@Edgeエッジネットワークにおける一般的な攻撃から守るAWSウェブアプリケーションファイアウォールAWSシールドとAWSシールドアドバンスマイクロサービスとAWSシールドアドバンスドエッジ・プロテクションのコスト概要
トランスポート層セキュリティの基本デジタル署名証明書、認証局、本人確認TLSを使った暗号化マイクロサービスではTLSターミネーションとトレードオフTLSオフロードとターミネーション輸送中の暗号化におけるコストと複雑さの考慮マイクロサービスにおけるTLSの適用メッセージキュー(AWS SQS)利用時のトランジットセキュリティについてgRPCとアプリケーションロードバランサ相互TLSサービスメッシュの（ごく簡単な）紹介：セキュリティの観点からプロキシとサイドカーアプリ・メッシュの構成要素と用語TLSとアプリ・メッシュmTLS再訪AWS App Mesh：まとめサーバーレス・マイクロサービスとトランジットにおける暗号化AWS APIゲートウェイとAWS Lambdaキャッシュ、APIゲートウェイ、転送中の暗号化フィールドレベルの暗号化概要
組織構造とマイクロサービスコンウェイの法則単一チーム指向のサービスアーキテクチャ役割ベースのアクセス制御特権の昇格許可の境界線責任を委譲するための許可境界線大規模組織のためのAWSアカウント構造AWSアカウントとチームAWS組織組織単位とサービス管理方針目的別口座組織のためのAWSツールAWS組織のベストプラクティスAWSリソースアクセスマネージャAWS RAMを使った共有サービスAWSシングルサインオンアカウントに多要素認証を導入するRBAC、SSO、AWS組織を使用した複雑なドメイン駆動型組織の簡素化概要
NISTインシデントレスポンスフレームワークステップ1：設計と準備ステップ2：検出と分析ステップ3：コンテナと隔離ステップ4：フォレンジック分析ステップ5：撲滅ステップ6：事故後の活動セキュリティ・インフラの確保CloudTrailを保護する目的別口座概要

セットアップワークスペースを作成するAWSアクセスとシークレットキーを追加するTerraformプロセスプロバイダー州プラン適用するコードとしてのTerraformインフラを書くルートモジュールとフォルダ構造入力変数リソースプランの実行と適用
Federated Identity セットアップの実地例ステップ1：IdPを設定するステップ2：AWSアカウントにインポートするメタデータをエクスポートするステップ 3：SAML IdP を信頼できる IdP として追加する。ステップ4：AWSアカウントと対話するために、連携ユーザが想定できるロールを作成するステップ5：IdP内のカスタム属性を使用して複数のロールへのアクセスを制御する概要
CMKを使った基本的な暗号化CMKを使った基本的な復号化CMKを使ったエンベロープの暗号化エンベロープで暗号化されたメッセージを復号化する
ステップ1: タスクのAWS IAMポリシーを作成するステップ2: IAMポリシーのサービス、アクション、効果パラメータを定義するステップ3：リソースの定義ステップ4：条件付き要求ステップ 5: 結果のポリシーを確認するステップ 6: ポリシーを保存するステップ7：ポリシーをプリンシパルに添付する概要

Overview

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

組織がクラウドシステム用のマイクロサービスを設計する場合、セキュリティは通常、後回しにされます。今日のほとんどの企業は潜在的なセキュリティの脅威にさらされていますが、その対応は多くの場合、事後対応的なものにとどまっています。その結果、不必要に複雑なシステムになり、実装が難しく、管理や拡張もさらに困難になります。著者である Gaurav Raje は、オーバーヘッドを増やすことなく、AWS 上で高度にセキュリティ保護されたシステムを構築する方法を紹介しています。

AWS の経験があるクラウドソリューションアーキテクトやソフトウェア開発者に最適なこの実践的な書籍は、高レベルのアーキテクチャと設計の説明から始まり、開発と運用体験の品質を損なうことなく、クラウドにソリューションを実装する方法について解説している。AWS の責任分担モデルを活用することで、次のことが可能になる。