通常、サービスドメインのインシデントは AWS API でのみ処理します。
アイデンティティ
AWS が API を提供しているクラウドサービスは、数百万のお客様が新しいアプリケーションを構築したり、ビジネスの成果を高めたりするために使用しています。これらの API は、ソフトウェア開発キット (SDK)、AWS CLI、AWS Management Console など、さまざまな方法で呼び出すことができます。これらの方法を通じて AWS とやり取りするには、IAM サービスを利用して AWS リソースへのアクセスを安全にコントロールできます。IAM により、アカウントレベルでリソースの使用を許可するために誰を認証 (サインイン) し、誰を認可 (許可を付与) するかを制御できます。IAM で使用できる AWS のサービスのリストについては、「IAM と連携する AWS のサービス」を参照してください。
AWS アカウントを初めて作成する場合は、アカウントですべての AWS のサービスとリソースに対して完全なアクセス権限を持つ Single Sign-On (SSO) アイデンティティを使用して始めます。このアイデンティティは、AWS アカウントのルートユーザーと呼ばれます。ルートユーザーにアクセスするには、AWS アカウントの作成時に使用した E メールアドレスとパスワードを使用してサインインします。日常的なタスク、特に管理タスクにはルートユーザーを使用しないことを強くお勧めします。代わりに、ルートユーザーの使用に関するベストプラクティスに従って、ルートユーザーの使用は最初の IAM ユーザーの作成、ルートユーザーの認証情報の安全な保存、いくつかのアカウントやサービス管理タスクの実行に限定することをお勧めします。詳細については、「個々の IAM ユーザーを作成する」を参照してください。
これらの API は何百万ものお客様に価値をもたらしますが、悪意のある個人が IAM アカウントやルート認証情報へのアクセス権を取得すると、一部の API が不正使用されるおそれがあります。例えば、API を使用して、AWS CloudTrail などのアカウント内のログ記録を有効化できます。ただし、攻撃者が認証情報を入手した場合、攻撃者も API を使用してこれらのログを無効化できます。この種の不正使用を防ぐには、最小特権モデルに従った適切な IAM 許可を設定し、IAM 認証情報を適切に保護します。詳細については、AWS Identity and Access Management ユーザーガイドの「IAM のベストプラクティス」を参照してください。この種のイベントが発生した場合は、AWS CloudTrail、AWS Config、AWS Trusted Advisor、Amazon GuardDuty、AWS CloudWatch Events など、AWS CloudTrail のログ記録が無効化されたことを確認する複数の検出コントロールがあります。
リソース
不正使用または誤設定されるその他の機能は、各お客様がクラウド内でどのように動作するかによって、組織ごとに異なります。例えば、特定のデータやアプリケーションを公的にアクセス可能にする組織もあれば、アプリケーションやデータを内部専用の機密扱いとする組織もあります。すべてのセキュリティイベントが本質的に悪意があるわけではありません。故意でない設定や不適切な設定が原因で発生するイベントもあります。どの API や機能が、組織に与える影響が大きいか、使用頻度が高いか低いかを検討します。
セキュリティ関連の誤設定の多くは、ツールとサービスを使用して特定できます。例えば、AWS Trusted Advisor には、ベストプラクティスに関する多くのチェックが用意されています。AWS パートナーも業界をリードする数百の製品を提供しており、これらはオンプレミス環境の既存のコントロールと同等または同一であるか、これらと統合できます。これらの製品やソリューションの多くは、AWS パートナーコンピテンシープログラム
