book

AWS におけるセキュリティとマイクロサービスアーキテクチャ

by Gaurav Raje

May 2025

Beginner to intermediate

396 pages

6h 11m

Japanese

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

本書の目標この本を使うべき人本書で使用されている慣例コード例を使うオライリー・オンライン・ラーニング問い合わせ先謝辞
クラウド情報セキュリティの基本リスクとセキュリティ管理組織のセキュリティ・ポリシーインシデントとCIAトライアドAWS共有モデルクラウドアーキテクチャとセキュリティモジュール化によるセキュリティシンプルさによるセキュリティフルマネージドAWSサービスによるセキュリティ爆風半径、隔離、密室の類似性多層防御とセキュリティ周辺保護によるセキュリティゼロトラスト・アーキテクチャによるセキュリティソフトウェアアーキテクチャ入門ティアベースのアーキテクチャドメイン駆動設計マイクロサービスAWS上でのマイクロサービスの実装コンテナベースのマイクロサービスアーキテクチャKubernetesの超簡単な紹介サービスとしての関数：AWS Lambdaを使ったFaaSクラウドマイクロサービス実装の概要アマゾンEKSアマゾンEKSファーゲートモードAWS Lambdaを使用したサービスとしての関数マイクロサービス実装のまとめマイクロサービスのコミュニケーションパターンの例例1：コンテキスト間の単純なメッセージの受け渡し例2：メッセージキュー例3：イベントベースのマイクロサービス概要
AWSアイデンティティとアクセス管理の基本プリンシパル on AWSIAMポリシー最小権限の原則PoLPとブラスト半径AWS IAMポリシーの構造プリンシパルベースのポリシーリソースベース・ポリシー信頼のゾーン政策の評価AWS IAMポリシーの高度な概念IAMポリシー条件付きAWSタグと属性ベースのアクセス制御"Not "ポリシー要素：NotPrincipal と NotResourceIAMポリシーをまとめる役割ベースのアクセス制御RBACモデリング役割を確保する役割を想定するAWSコマンドラインインタフェース（CLI）を使って行を割り当てるAWSマネジメントコンソールを使ってロールを切り替えるサービスと連動した役割認証とアイデンティティ管理認証の基本AWS上のアイデンティティ・フェデレーションSAML 2.0 と OpenID Connect を使用した ID フェデレーションRBACとマイクロサービス実行の役割AWS LambdaによるRBACEC2とインスタンスメタデータサービスによるRBACAmazon EKSでサービスアカウントにIAMロールを使ってRBACを行う概要
暗号化の概要なぜAWSでは暗号化が重要なのか？なぜマイクロサービスアーキテクチャにとって暗号化が重要なのか？AWSにおける暗号化鍵ベースの暗号化におけるセキュリティの課題ビジネス上の問題AWS鍵管理サービスCMKを使った基本的な暗号化エンベロープ暗号化エンベロープ暗号化の実例セキュリティとAWS KMSKMSコンテキストと追加認証データ主要政策補助金とViaServiceCMKとそのコンポーネント、そしてサポートされるアクション地域とKMSコスト、複雑さ、規制に関する考察非対称暗号化とKMS暗号化と復号化デジタル署名（署名と検証）ドメイン駆動設計とAWS KMSコンテキストの境界と暗号化アカウントとCMKの共有KMSとNetworkに関する考察KMS補助金再訪KMSアカウントとトポロジー：すべてを結びつけるオプション1：境界づけられたコンテキストにCMKを含めるオプション2：CMKを保有する専用口座を使うAWSシークレットマネージャーシークレット・マネージャーの仕組みAWS Secrets Managerにおける秘密の保護概要
データ分類の基本KMSを使ったエンベロープ暗号化のまとめAWSシンプル・ストレージ・サービスAWS S3での暗号化S3バケットポリシーによるAmazon S3へのアクセス制御Amazon GuardDutyGlacier Vault Lockを使用した否認防止機能コンピュート・サービスの安静時のセキュリティAWS CodeGuruを使った静的コード解析AWS Elastic ContainerレジストリAWS LambdaAWSエラスティック・ブロックストアすべてを結びつけるマイクロサービスデータベースシステムAWS DynamoDBアマゾン・オーロラ・リレーショナル・データ・サービスメディアのサニタイゼーションとデータの削除概要
AWSでのNetworkingコントロールモノリスモデルとマイクロサービスモデルを理解するセグメンテーションとマイクロサービスソフトウェア定義ネットワーク・パーティションサブネットサブネット内のルーティングゲートウェイとサブネットパブリック・サブネットプライベート・サブネットサブネットとアベイラビリティゾーンサブネットのインターネットアクセス仮想プライベートクラウドVPCでのルーティングネットワーク+レイヤーでのマイクロセグメンテーションクロスVPC通信VPCピアリングAWSトランジットゲートウェイVPCエンドポイントクロスVPC通信のまとめクラウド上のファイアウォール等価性セキュリティ・グループセキュリティ・グループ参照（チェイニング）とデザインセキュリティ・グループのプロパティネットワークアクセス制御リストセキュリティグループとNACLの比較コンテナとネットワークセキュリティブロックインスタンスメタデータサービスプライベートサブネットでPodを実行してみる必要な場合を除き、ブロックする。P+間で暗号化されたネットワークを使用するLambdaとネットワーク・セキュリティ概要
APIファースト設計とAPIゲートウェイAWS APIゲートウェイAWS APIゲートウェイのエンドポイントの種類APIゲートウェイの保護APIゲートウェイ統合APIゲートウェイでのアクセス制御APIゲートウェイ上のインフラセキュリティAWSのAPIゲートウェイを利用する際のコストに関する考察バスティオンホスト解決策静的資産配信（コンテンツ配信ネットワーク）AWS CloudFront署名されたURLまたはクッキーAWS Lambda@Edgeエッジネットワークにおける一般的な攻撃から守るAWSウェブアプリケーションファイアウォールAWSシールドとAWSシールドアドバンスマイクロサービスとAWSシールドアドバンスドエッジ・プロテクションのコスト概要
トランスポート層セキュリティの基本デジタル署名証明書、認証局、本人確認TLSを使った暗号化マイクロサービスではTLSターミネーションとトレードオフTLSオフロードとターミネーション輸送中の暗号化におけるコストと複雑さの考慮マイクロサービスにおけるTLSの適用メッセージキュー(AWS SQS)利用時のトランジットセキュリティについてgRPCとアプリケーションロードバランサ相互TLSサービスメッシュの（ごく簡単な）紹介：セキュリティの観点からプロキシとサイドカーアプリ・メッシュの構成要素と用語TLSとアプリ・メッシュmTLS再訪AWS App Mesh：まとめサーバーレス・マイクロサービスとトランジットにおける暗号化AWS APIゲートウェイとAWS Lambdaキャッシュ、APIゲートウェイ、転送中の暗号化フィールドレベルの暗号化概要
組織構造とマイクロサービスコンウェイの法則単一チーム指向のサービスアーキテクチャ役割ベースのアクセス制御特権の昇格許可の境界線責任を委譲するための許可境界線大規模組織のためのAWSアカウント構造AWSアカウントとチームAWS組織組織単位とサービス管理方針目的別口座組織のためのAWSツールAWS組織のベストプラクティスAWSリソースアクセスマネージャAWS RAMを使った共有サービスAWSシングルサインオンアカウントに多要素認証を導入するRBAC、SSO、AWS組織を使用した複雑なドメイン駆動型組織の簡素化概要
NISTインシデントレスポンスフレームワークステップ1：設計と準備ステップ2：検出と分析ステップ3：コンテナと隔離ステップ4：フォレンジック分析ステップ5：撲滅ステップ6：事故後の活動セキュリティ・インフラの確保CloudTrailを保護する目的別口座概要

セットアップワークスペースを作成するAWSアクセスとシークレットキーを追加するTerraformプロセスプロバイダー州プラン適用するコードとしてのTerraformインフラを書くルートモジュールとフォルダ構造入力変数リソースプランの実行と適用
Federated Identity セットアップの実地例ステップ1：IdPを設定するステップ2：AWSアカウントにインポートするメタデータをエクスポートするステップ 3：SAML IdP を信頼できる IdP として追加する。ステップ4：AWSアカウントと対話するために、連携ユーザが想定できるロールを作成するステップ5：IdP内のカスタム属性を使用して複数のロールへのアクセスを制御する概要
CMKを使った基本的な暗号化CMKを使った基本的な復号化CMKを使ったエンベロープの暗号化エンベロープで暗号化されたメッセージを復号化する
ステップ1: タスクのAWS IAMポリシーを作成するステップ2: IAMポリシーのサービス、アクション、効果パラメータを定義するステップ3：リソースの定義ステップ4：条件付き要求ステップ 5: 結果のポリシーを確認するステップ 6: ポリシーを保存するステップ7：ポリシーをプリンシパルに添付する概要

Content preview from AWS におけるセキュリティとマイクロサービスアーキテクチャ

序文

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

セキュリティが重要であることは否定できないし、セキュリティの欠如は、そうでなくても成長している組織の価値を著しく破壊する可能性がある。それだけに、セキュリティを組織の文化に根付かせることは重要である。しかし、セキュリティの文化が「ノー」の文化であってはならない。私の専門的な意見では、セキュリティの専門家は、多くの企業で、価値付加活動における摩擦の点であるという悪評を得ている。セキュリティ専門家は、開発者の付加価値向上を支援すべきであり、付加価値向上の邪魔をしてはならない。

私は数年前にマイクロサービスアーキテクチャに出会い、様々な組織でマイクロサービスを研究し実装した後、アプリケーションのセキュリティを確保するためにアーキテクチャの原則のいくつかを活用できることに気づいた。

本書の目標

本書は、あなたがすでにアマゾンウェブサービス（AWS）、マイクロサービスアーキテクチャ、セキュリティの基本的な知識を持っており、アプリケーションの相乗的な価値を引き出すために、これら3つをどのように互いに連携させることができるかを知りたいことを想定している。

本書を通じて、セキュリティの専門家と開発者がどのように協力し、エンタープライズアプリケーションの価値を高めることができるかという知識を広めたい。本書は、効率的な設計とシンプルなソリューション、そしてAWSが提供してくれるツールを活用することで、セキュリティを実装できるセキュリティ問題に対する革新的な解決策を考え出すことに最善を尽くす。

私は、どの開発者と同じように、悪いセキュリティ実装が大嫌いである。そのため、この本を通して、私は、シンプルさによるセキュリティの重要性をあなたに印象づけ、あなたの会社の開発者や管理者に摩擦を生じさせるようなセキュリティ管理の実装をやめさせるよう、最善を尽くすつもりである。

私の目標は、この本と今後私が行うすべての活動を通じて、私の知識をできるだけ多く広めることだ。しかし、所得格差や社会的不平等が多くの人々に影響を与えていることは理解している。そのために、私は本書の印税をすべて、IT業界における男女格差の縮小を目指す素晴らしい非営利団体「Girls Who Code」に寄付することにした。私は自分の仕事を、この素晴らしい団体のボランティア活動だと思っている。しかし、彼女たちはこの活動の真のチャンピオンであり、賞賛に値する。

この本を使うべき人

マイクロサービス・システムをAWS上に実装し、突然システムのセキュリティ確保が必要だと気づいたかもしれない。あるいは、セキュリティが重要視される業界で働いていて、新しいグリーンフィールド・アプリケーションを作成したいと考えていて、マイクロサービスを発見したばかりかもしれない。あるいは、マイクロサービスを使っている会社に入社し、その会社がセキュリティの面でベスト・プラクティスに従っているかどうか知りたいと思っているかもしれない。あるいは、様々なタイプのクラウドデザインパターンを学ぶことに興味があり、AWSが提供するクラウドツールの詳細情報を発見しようとしている人だ。どの読者であっても、本書から何か新しいことを学べると確信している。