aws firewall manager
awsの以下firewall機能のポリシーを一元管理
aws waf
aws sheild advanced
vpc security group
ルールを定義すると、新規にアサインしたリソースに自動適用される。
未適用リソースがないか継続的にモニタリングも可能
aws firewall manager設定に応じてaws configルールが自動作成される。
aws directory service
用途に応じ3種類あり。
aws managed microsoft ad フルスペックad
simple ad linux-samba active directoryによるディレクトリサービス
ad connector 既存adへプロキシ
ia/pwのみ管理すれば良い場合
→simple ad
フルスペックadが必要な場合
→aws managed microsoft ad
既存adを利用したい場合
→ad connector
オンプレadと連携する方法は2種類
aws managed microsoft ad
→オンプレadと信頼関係を結ぶ。オンプレとの帯域はケア不要。
ad connector
→オンプレadとプロキシ連携。オンプレとの帯域、オンプレ負荷ケア必要。
awsにおけるad利用パターン
2つあり。
awsで構築するシステムにad必要なパターン
awsを使うユーザーをadで管理するパターン
awsユーザーの認証をadにオフロード
amazon cognito
webアプリ向けユーザー認証認可サービス
認可対象はawsサービス
例)webアプリで認証したユーザーにs3の特定バケットにアクセス許可する
認証はcognitoユーザープール機能、もしくはFacebook等のパブリックプロバイダ、OIDC/SAMLプロバイダ
認可はcognito idプール機能
ユーザープール機能
フルマネージドなidプロバイダ
ディレクトリサービス
ユーザープロファイル
トークンベースの認証機能 ★何?
サインアップ機能
smsやmfaベースの多要素認証
電話番号やメールアドレスの有効性確認
パスワード変更
lamdaと連携可能。サインアップ前やユーザー認証前後などのトリガーと紐づけ独自処理実装可能
cognito idプール
認証成功したユーザーを認可
一時的認証情報(temporary session
credencial)
※一時認証情報は、amazon security token service(sts)が提供。iam roleと同じ仕組み。
認証フロー
clientがcognitoユーザープールで認証
clientがトークン受領
clientがcognito idプールにトークン渡して権限要求
cognito idプールはトークンの有効性をチェック
cognito idプールはstsに権限要求
stsはcognito idプールに一時的認証情報(temporary session
credencial)を提供
cognito idプールは受領した一時的認証情報をclientに提供
