AWSセキュリティ編~セキュリティホワイトペーパー編④~

Pocket

こんにちは!HEROです。

これまで、3回に渡りご紹介してきました。
(前回までの記事はこちら、『AWSセキュリティ編~セキュリティホワイトペーパー編①~』)
今回も引き続き、ホワイトペーパー内の各サービスのセキュリティについて調べていきましょう!
ご紹介するのはCloudwatch、Autoscaling、EMRについてです。

◯Cloudwatchのセキュリティ

Amazon CloudWatchは、EC2で起動し、AWSクラウドリソースのモニタリングを提供するウェブサービスです。
CPU使用状況、ディスク読み込みや書き込み、ネットワークトラフィックなどの見る化を行うサービスです。

・CloudWatchでは、すべての AWSサービスと同様、サービスのコントロールAPI対する全リクエストに認証が必要となります。
したがって、許可されたユーザーのみが、CloudWatchにアクセスし、管理することができます。CloudWatchコントロール API には、SSL 暗号化されたエンドポイント経由でのみアクセスできます。
・ユーザーはIAMを使用して AWSアカウントでユーザーを作成し、どのCloudWatch 操作に対して、そのユーザーが呼び出し権限を持つようにするかをコントロールすることにより、CloudWatchへのアクセスをさらに細かくコントロールできます。

◯AutoScalingのセキュリティ

Auto Scalingを使用すると、顧客が、自身で定義した条件に従ってEC2を自動的にスケールアウトまたはスケールインするよう指定できます。
したがって、使用されるEC2インスタンスの数は、需要が急激に増える時間帯はパフォーマンスを維持するために、シームレスに増え、需要が少ないときはコストを最小限に抑えるために自動的に少なくなります。

・Auto Scalingでは、すべてのAWSサービスと同様、サービスのコントロール API 対する全リクエストに認証が必要です。したがって、許可されたユーザーのみが、Auto Scalingにアクセスし、管理することができます。
・ユーザーはIAMを使用してAWSアカウントでユーザーを作成し、どのAuto Scaling APIに対して、そのユーザーが呼び出し権限を持つようにするかをコントロールすることにより、Auto Scalingへのアクセスをさらに細かくコントロールできます。

◯EMRのセキュリティ

Elastic MapReduce(EMR)は、大量のデータを迅速かつ容易に処理するためのウェブサービスです。
Hadoop というオープンソースフレームワークを使用したデータの分散処理をEC2インスタンスの拡大縮小可能なクラスターで行うことができます。
ログ分析、ウェブインデックス作成、データウェアハウス、機械学習、財務分析などに向いているサービスです。

・EMRでは、サービスのAPI対する全リクエストに認証が必要です。したがって、許可されたユーザーのみが、そのユーザーのジョブフローを作成、検索、または終了できます。Elastic MapReduceは、そのウェブサービスAPIとコンソールに対するアクセスのためにSSLエンドポイントを提供します。
・顧客のためにジョブフローを起動する場合、Elastic MapReduceは、マスターノードのEC2セキュリティグループをセットアップして、SSHを経由する外部アクセスのみが可能なようにします。ユーザの入力および出力データセットを保護するために、Elastic MapReduceはSSLを用いて、データをS3とやり取りします。

いかがでしたでしょうか?
次回もお楽しみに!