📢 Webサイト閉鎖と移転のお知らせ
このWebサイトは2026年9月に閉鎖いたします。
新しい記事は移転先で追加しております。(旧サイトでは記事を追加しておりません)
| 356行目: | 356行目: | ||
セキュリティグループとは、インスタンスをグルーピングしてIPアドレスとポート番号に基づくアクセス制限を設定することにより、ファイアウォールのようなアクセス制御を実現する機能である。<br> | セキュリティグループとは、インスタンスをグルーピングしてIPアドレスとポート番号に基づくアクセス制限を設定することにより、ファイアウォールのようなアクセス制御を実現する機能である。<br> | ||
セキュリティグループはVPC内部の機能のため、詳細を知りたい場合は、[[AWS - Amazon_EC2#VPC|AWS - Amazon_EC2#VPC]]のページを参照すること。<br> | セキュリティグループはVPC内部の機能のため、詳細を知りたい場合は、[[AWS - Amazon_EC2#VPC|AWS - Amazon_EC2#VPC]]のページを参照すること。<br> | ||
<br><br> | |||
== セキュリティ機能 == | |||
コンソールには以下に示す2つの機能があるが、これらは最低限の機能であり対策としては不十分である。<br> | |||
そのため、IAMによるポリシー設定とVPCのセキュリティ機能のページを参照すること。<br> | |||
<br> | |||
<center> | |||
{| class="wikitable" | style="background-color:#fefefe;" | |||
|- | |||
! style="background-color:#66CCFF;" | 名称 | |||
! style="background-color:#66CCFF;" | 説明 | |||
|- | |||
| EBSとスナップショットの暗号化 || EBSやそのバックアップであるスナップショット内のデータを暗号化して、機密性を向上させる。 | |||
|- | |||
| キーペア || キーペアで公開鍵認証によるSSH通信でインスタンスに接続して、外部からセキュアなインスタンスの操作を実現する。 | |||
|- | |||
| セキュリティグループ || ネットワーク上のアクセス制御により、セキュリティを向上させる。<br>(ファイアウォールの役割) | |||
|- | |||
| EC2 Image Builder || ネットワーク上のアクセス制御により、セキュリティを向上させる。<br>(ファイアウォールの役割) | |||
|} | |||
</center> | |||
<br> | |||
==== EBSとスナップショットの暗号化 ==== | |||
EBS内のデータはデフォルトでは暗号化されていない。<br> | |||
そのため、暗号化を行いセキュリティレベルを高める必要がある。<br> | |||
<br> | |||
EBSの暗号化は、AWSの暗号鍵管理サービスであるKMSの鍵を利用して、AES-256アルゴリズムで実行される。 (S3の暗号化方式の1つであるSSE-KMSと近い仕組みである)<br> | |||
また、暗号化されたEBSから作成されたスナップショットも同様に暗号化される。<br> | |||
<br> | |||
EBSを暗号化するには、インスタンス起動時の[ストレージ]設定において、下図のように暗号化を有効にする。<br> | |||
<br> | |||
EBSボリュームを直接作成する場合は、下図のように[このボリュームを暗号化する]チュッくボックスにチェックを入力して、暗号化に使用するキーを指定する。<br> | |||
<br> | |||
※AWS管理キーについて (aws / ebs)<br> | |||
EBSの暗号化で使用できるキーとして、ユーザが独自に作成したKMSキー(カスタマーキー)以外に、デフォルトで準備されたAWS管理キー(aws / ebs)が存在する。<br> | |||
このAWS管理キーを使用することにより、KMSキーのポリシー管理が不要となるため、管理の手間を減らすことができる。<br> | |||
<br> | |||
KMSキーとAWS管理キーの違いについて詳細を知りたい場合は、[https://docs.aws.amazon.com/ja%20jp/kms/latest/developerguide/concepts.html AWSの公式ドキュメント]を参照すること。<br> | |||
<br> | |||
==== キーペア ==== | |||
<br> | |||
==== セキュリティグループ ==== | |||
<br> | |||
==== EC2 Image builder ==== | |||
作成したAMIを長期間放置する場合、内部のOSやパッケージにパッチや更新が適用されないため、セキュリティに関する脆弱性が放置されて危険である。<br> | |||
このような事態を防ぐため、最新のパッケージがインストールされたAMIを自動で作成および展開できるEC2 Image builderと呼ばれる機能が準備されている。<br> | |||
<br> | |||
EC2 Image builderの詳細を知りたい場合は、[https://dev.classmethod.jp/articles/ec2-image-builder/ DevelopersIOのWebサイト]を参照すること。<br> | |||
<br><br> | <br><br> | ||