book

AWS におけるセキュリティとマイクロサービスアーキテクチャ

by Gaurav Raje

May 2025

Beginner to intermediate

396 pages

6h 11m

Japanese

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

本書の目標この本を使うべき人本書で使用されている慣例コード例を使うオライリー・オンライン・ラーニング問い合わせ先謝辞
クラウド情報セキュリティの基本リスクとセキュリティ管理組織のセキュリティ・ポリシーインシデントとCIAトライアドAWS共有モデルクラウドアーキテクチャとセキュリティモジュール化によるセキュリティシンプルさによるセキュリティフルマネージドAWSサービスによるセキュリティ爆風半径、隔離、密室の類似性多層防御とセキュリティ周辺保護によるセキュリティゼロトラスト・アーキテクチャによるセキュリティソフトウェアアーキテクチャ入門ティアベースのアーキテクチャドメイン駆動設計マイクロサービスAWS上でのマイクロサービスの実装コンテナベースのマイクロサービスアーキテクチャKubernetesの超簡単な紹介サービスとしての関数：AWS Lambdaを使ったFaaSクラウドマイクロサービス実装の概要アマゾンEKSアマゾンEKSファーゲートモードAWS Lambdaを使用したサービスとしての関数マイクロサービス実装のまとめマイクロサービスのコミュニケーションパターンの例例1：コンテキスト間の単純なメッセージの受け渡し例2：メッセージキュー例3：イベントベースのマイクロサービス概要
AWSアイデンティティとアクセス管理の基本プリンシパル on AWSIAMポリシー最小権限の原則PoLPとブラスト半径AWS IAMポリシーの構造プリンシパルベースのポリシーリソースベース・ポリシー信頼のゾーン政策の評価AWS IAMポリシーの高度な概念IAMポリシー条件付きAWSタグと属性ベースのアクセス制御"Not "ポリシー要素：NotPrincipal と NotResourceIAMポリシーをまとめる役割ベースのアクセス制御RBACモデリング役割を確保する役割を想定するAWSコマンドラインインタフェース（CLI）を使って行を割り当てるAWSマネジメントコンソールを使ってロールを切り替えるサービスと連動した役割認証とアイデンティティ管理認証の基本AWS上のアイデンティティ・フェデレーションSAML 2.0 と OpenID Connect を使用した ID フェデレーションRBACとマイクロサービス実行の役割AWS LambdaによるRBACEC2とインスタンスメタデータサービスによるRBACAmazon EKSでサービスアカウントにIAMロールを使ってRBACを行う概要
暗号化の概要なぜAWSでは暗号化が重要なのか？なぜマイクロサービスアーキテクチャにとって暗号化が重要なのか？AWSにおける暗号化鍵ベースの暗号化におけるセキュリティの課題ビジネス上の問題AWS鍵管理サービスCMKを使った基本的な暗号化エンベロープ暗号化エンベロープ暗号化の実例セキュリティとAWS KMSKMSコンテキストと追加認証データ主要政策補助金とViaServiceCMKとそのコンポーネント、そしてサポートされるアクション地域とKMSコスト、複雑さ、規制に関する考察非対称暗号化とKMS暗号化と復号化デジタル署名（署名と検証）ドメイン駆動設計とAWS KMSコンテキストの境界と暗号化アカウントとCMKの共有KMSとNetworkに関する考察KMS補助金再訪KMSアカウントとトポロジー：すべてを結びつけるオプション1：境界づけられたコンテキストにCMKを含めるオプション2：CMKを保有する専用口座を使うAWSシークレットマネージャーシークレット・マネージャーの仕組みAWS Secrets Managerにおける秘密の保護概要
データ分類の基本KMSを使ったエンベロープ暗号化のまとめAWSシンプル・ストレージ・サービスAWS S3での暗号化S3バケットポリシーによるAmazon S3へのアクセス制御Amazon GuardDutyGlacier Vault Lockを使用した否認防止機能コンピュート・サービスの安静時のセキュリティAWS CodeGuruを使った静的コード解析AWS Elastic ContainerレジストリAWS LambdaAWSエラスティック・ブロックストアすべてを結びつけるマイクロサービスデータベースシステムAWS DynamoDBアマゾン・オーロラ・リレーショナル・データ・サービスメディアのサニタイゼーションとデータの削除概要
AWSでのNetworkingコントロールモノリスモデルとマイクロサービスモデルを理解するセグメンテーションとマイクロサービスソフトウェア定義ネットワーク・パーティションサブネットサブネット内のルーティングゲートウェイとサブネットパブリック・サブネットプライベート・サブネットサブネットとアベイラビリティゾーンサブネットのインターネットアクセス仮想プライベートクラウドVPCでのルーティングネットワーク+レイヤーでのマイクロセグメンテーションクロスVPC通信VPCピアリングAWSトランジットゲートウェイVPCエンドポイントクロスVPC通信のまとめクラウド上のファイアウォール等価性セキュリティ・グループセキュリティ・グループ参照（チェイニング）とデザインセキュリティ・グループのプロパティネットワークアクセス制御リストセキュリティグループとNACLの比較コンテナとネットワークセキュリティブロックインスタンスメタデータサービスプライベートサブネットでPodを実行してみる必要な場合を除き、ブロックする。P+間で暗号化されたネットワークを使用するLambdaとネットワーク・セキュリティ概要
APIファースト設計とAPIゲートウェイAWS APIゲートウェイAWS APIゲートウェイのエンドポイントの種類APIゲートウェイの保護APIゲートウェイ統合APIゲートウェイでのアクセス制御APIゲートウェイ上のインフラセキュリティAWSのAPIゲートウェイを利用する際のコストに関する考察バスティオンホスト解決策静的資産配信（コンテンツ配信ネットワーク）AWS CloudFront署名されたURLまたはクッキーAWS Lambda@Edgeエッジネットワークにおける一般的な攻撃から守るAWSウェブアプリケーションファイアウォールAWSシールドとAWSシールドアドバンスマイクロサービスとAWSシールドアドバンスドエッジ・プロテクションのコスト概要
トランスポート層セキュリティの基本デジタル署名証明書、認証局、本人確認TLSを使った暗号化マイクロサービスではTLSターミネーションとトレードオフTLSオフロードとターミネーション輸送中の暗号化におけるコストと複雑さの考慮マイクロサービスにおけるTLSの適用メッセージキュー(AWS SQS)利用時のトランジットセキュリティについてgRPCとアプリケーションロードバランサ相互TLSサービスメッシュの（ごく簡単な）紹介：セキュリティの観点からプロキシとサイドカーアプリ・メッシュの構成要素と用語TLSとアプリ・メッシュmTLS再訪AWS App Mesh：まとめサーバーレス・マイクロサービスとトランジットにおける暗号化AWS APIゲートウェイとAWS Lambdaキャッシュ、APIゲートウェイ、転送中の暗号化フィールドレベルの暗号化概要
組織構造とマイクロサービスコンウェイの法則単一チーム指向のサービスアーキテクチャ役割ベースのアクセス制御特権の昇格許可の境界線責任を委譲するための許可境界線大規模組織のためのAWSアカウント構造AWSアカウントとチームAWS組織組織単位とサービス管理方針目的別口座組織のためのAWSツールAWS組織のベストプラクティスAWSリソースアクセスマネージャAWS RAMを使った共有サービスAWSシングルサインオンアカウントに多要素認証を導入するRBAC、SSO、AWS組織を使用した複雑なドメイン駆動型組織の簡素化概要
NISTインシデントレスポンスフレームワークステップ1：設計と準備ステップ2：検出と分析ステップ3：コンテナと隔離ステップ4：フォレンジック分析ステップ5：撲滅ステップ6：事故後の活動セキュリティ・インフラの確保CloudTrailを保護する目的別口座概要

セットアップワークスペースを作成するAWSアクセスとシークレットキーを追加するTerraformプロセスプロバイダー州プラン適用するコードとしてのTerraformインフラを書くルートモジュールとフォルダ構造入力変数リソースプランの実行と適用
Federated Identity セットアップの実地例ステップ1：IdPを設定するステップ2：AWSアカウントにインポートするメタデータをエクスポートするステップ 3：SAML IdP を信頼できる IdP として追加する。ステップ4：AWSアカウントと対話するために、連携ユーザが想定できるロールを作成するステップ5：IdP内のカスタム属性を使用して複数のロールへのアクセスを制御する概要
CMKを使った基本的な暗号化CMKを使った基本的な復号化CMKを使ったエンベロープの暗号化エンベロープで暗号化されたメッセージを復号化する
ステップ1: タスクのAWS IAMポリシーを作成するステップ2: IAMポリシーのサービス、アクション、効果パラメータを定義するステップ3：リソースの定義ステップ4：条件付き要求ステップ 5: 結果のポリシーを確認するステップ 6: ポリシーを保存するステップ7：ポリシーをプリンシパルに添付する概要

Content preview from AWS におけるセキュリティとマイクロサービスアーキテクチャ

第7章. 輸送中のセキュリティ

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

モノリス内の2つのモジュールが互いに通信する場合、一般的には単純なインメモリメソッド呼び出しとなる。異なるマイクロサービスは、モノリスとは異なり、（モジュールが独立したサービスに分解され、場合によっては異なるマシン上で実行されるため）互いに通信するために外部トランスポート（ネットワークなど）に依存する。

外部通信チャネルは、メモリ内呼び出しに比べ、悪意のあるアクターからの潜在的な脅威にさらされやすい。従って、定義上、外部通信チャネルはより高い総合リスクを伴う。

この点を説明するために、図7-1に概略を示すように、eコマース・アプリケーションのチェックアウトプロセスの例を使う。チェックアウトプロセスでは、アプリケーションが商品の価格を計算し、リポジトリでそれを検索して顧客に請求するとする。チェックアウトすると、会社はこの商品の利用可能在庫をデクリメントする。

外部通信チャネルは、本質的にアプリケーションの総合的なリスクを増加させるので、セキュリティ専門家は、潜在的な脅威が最小化されることを確実にするために、制御を追加する必要がある。転送中の暗号化は、メッセージが傍受されたり、改ざんされたり、あるいは、なりすまされたりする潜在的な脅威を低減する、最も一般的に使用される制御です。(暗号化については第3章で詳しく説明する）。

マイクロサービス間の通信は様々な方法で実現できる。一般的な通信パターンをいくつか紹介しよう。このリストは網羅的ではなく、相互に排他的でもない：

非同期状態遷移（REST）を使う
AWS Simple Queue Service（SQS）などのメッセージキューやApache Kafkaなどのメッセージブローカーを使用する。
Googleリモートプロシージャコール（gRPC）のようなHTTPまたはHTTP/2上のラッパーを使用する。
IstioやAWSが管理するAWS App Meshなどのサービスメッシュを使用する。

Transport Layer Security (TLS)は、転送中のデータを暗号化するメソッドとして圧倒的によく使われている。この章では、TLSとAWS ACMを使ってアプリケーションの簡単でシンプルなエンドツーエンドのセキュリティを確保するためにAWSが用意している様々なシステムについて説明する。また、AWS App Meshについても簡単に紹介する。AWS App Meshはマネージドサービスメッシュであり、マイクロサービスでは、外部通信チャネルがもたらす追加の複雑さを保護し、維持するための定型的なコードに対処するのに役立つ。

この章では、このような外部通信チャネルのセキュリティ面に焦点を当てる。しかし、アーキテクトは、スケーラビリティ、遅延、およびマイクロサービスアーキテクチャにおいて多くのトレードオフを決定するものについても考慮する必要があるかもしれない。これらの問題については、本書の対象外なので、他の読み取り資料を参照されたい。 ...