aws-recipe-user こんにちは!HEROです。
前回は『AWSセキュリティ編~セキュリティホワイトペーパー編②~』と題してAWSがセキュリティについて詳細を記載しているホワイトペーパーについてと、そこに記載されているEC2のセキュリティにご紹介しました。
今回も引き続き、ホワイトペーパー内の各サービスのセキュリティについて調べていきましょう!
ご紹介するのはEBS、RDSについてです。
◯EBSのセキュリティ
・ EBSのアクセスは、ボリュームを作成した AWSアカウントに限定されます。
・ EBS操作に対するアクセスがユーザーに付与されている場合は、IAMで作成されたAWSアカウントのユーザーに限定されます。その他のAWSアカウントおよびユーザーについては、ボリュームを表示する、またはボリュームにアクセスする権限は付与されません。
・ EBSボリュームのS3スナップショットを顧客が作成し、共有スナップショットをベースとして使用する場合、他の AWS アカウントが持つようにすることができます。
※ EBSボリュームのスナップショットを共有することは、他のAWS アカウントにオリジナルスナップショットを変更または削除する権限を与えることではありません。
◯RDSのセキュリティ
RDSを使用すれば、リレーショナルデータベースのインスタンスを素早く作成し、関連するコンピュータリソースやストレージ能力を柔軟に拡張して、アプリケーションの需要に適合させることができます。
RDSは、バックアップおよびフェールオーバー処理を実行し、データベースソフトウェアを維持管理することにより、ユーザーに代わってデータベースインスタンスを管理します。
・RDSDBインスタンスへのアクセスは、EC2セキュリティグループと同種のデータベースセキュリティグループ経由で、顧客により管理されます。データセキュリティグループはデフォルトで
「すべて拒否」に設定されており、顧客はネットワークへのアクセスを個々に承認する必要があります 。
・IAMを使用すると、顧客が自身のRDSDBインスタンスへのアクセスをさらに細かくコントロールできます。例えば、AWS IAM により、どのRDS操作に対して、各AWS IAMユーザー
が呼び出し権限を持つようにするかをコントロールできます。
いかがでしたでしょうか?
次回も引き続きホワイトペーパーについてご紹介します。
お楽しみに!
