素人目線　何でも自前

Amazon CloudWatchは、AWSクラウドリソースとAWSで実行されるアプリケーションのモニタリングサービス。Amazon CloudWatchを使用して、メトリクスを収集/追跡し、ログファイルを収集してモニタリングし、アラームを設定できる。CPU使用率、ネットワーク使用率、ディスクパフォーマンス、ディスクの読み取り/書き込みを監視するためのAmazon EC2メトリクスが用意されている。

Cloud Watchで以下を監視したい場合はカスタムメトリクスを用意する必要がある。
メモリ使用率
ディスクスワップ使用率
ディスクスペース使用率
ページファイル使用率
ログ収集

統一されたCloud Watch Logsエージェントを各インスタンスにインストールし自動的にデータを収集してCloud Watch Logsにプッシュすることで、Cloud Watch Logs Insightsでログデータを分析する。


自動化された脆弱性管理サービスで、Amazon Elastic Compute Cloud(EC2)とコンテナのワークロードを継続的にスキャンし、ソフトウェアの脆弱性と意図しないネットワークのエクスポージャーを検出する。

AWSアカウント、ワークロード、およびAmazon Simple Storage Service(AmazonS3)に保存されたデータを保護するために、悪意のあるアクティビティや異常な動作を継続的にモニタリングする脅威検出サービス。

アプリケーションの可用性に影響を与えたりセキュリティを侵害したり、過剰なリソースを消費したりする可能性のある一般的な悪用からWebアプリケーションを保護するためのWebアプリケーションファイアウォールサービス。

AWS上で動作するアプリケーションを保護するマネージド型の分散型サービス拒否（DDoS）対策サービス。Webサイトやアプリケーションを標的とした最も一般的なネットワーク層、トランスポート層のDDoS攻撃を防御する。

AWS ISO認定、Payment Card Industry(PCI)、Service Organization Control(SOC)レポートなどのAWSセキュリティおよびコンプライアンスドキュメントがあり、オンデマンドダウンロードを実行できる。

コンプライアンスガイドラインに対するAWSリソースのコンプライアンス状況を監視できるAWSサービス。AWSリソースの変更の詳細を記録し、設定履歴を確認できる。AWSマネジメントコンソール、API、CLIを使用して、過去の任意の時点でリソースがどのように設定されていたかの詳細を取得できる。また、AWSConfigにより、指定したAmazonS3バケットに設定履歴ファイルが自動配信される。

Amazon Macieは、機械学習とパターンマッチングを使用してセンシティブ機密データを自動で検出、分類、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にするデータセキュリティサービス。


ウェブアイデンティティフェデレーションを利用することで、カスタムのサインイン・コードを作成したり、独自のユーザー・アイデンティティを管理する必要はない。代わりに、アプリのユーザーはLogin with Amazon、Facebook、Google、その他のOpenIDConnect（OIDC）互換のIdPなど、よく知られたIDプロバイダ（IdP）を使用してサインインし、認証トークンを受け取り、そのトークンを、AWSアカウントのリソースを使用する権限を持つIAMロールにマッピングされたAWSの一時的なセキュリティ認証情報と交換することができる。IdPを使用すれば、アプリケーションに長期的なセキュリティ認証情報を埋め込んで配布する必要がないため、AWSアカウントを安全に保つことができる。

セキュリティグループは、関連付けられたリソースに到達するインバウンドトラフィックおよびリソースから出ていくアウトバウンドトラフィックを制御する。デフォルトはインバウンドは全てブロック、アウトバウンドは全て許可の状態からはじまる。ルールの追加は許可のみで、拒否のルールは追加できない。ステートフルである。

ネットワークアクセスコントロールリスト (ACL) は、サブネットレベルで特定のインバウンドまたはアウトバウンドのトラフィックを許可または拒否する。セキュリティグループとの違いはサブネットに対する制御であること、拒否ルールが設定できること、ステートレスであること。