受講準備
【1】音声確認
- Youtubeなどの音声が正しく聞こえるかご確認ください
- Webexのみ音声が聞こえない方は、 こちらの(P28)をご確認ください
- 極力 VPN は切断してください(通信が不安定になる可能性があります)
【2】受講者ポータルへのアクセス
- 下記のURLをクリックして、受講者ポータルへアクセスしてください。
- 受講者ポータル:https://classrooms.aws.training/
- 認証が求められますので、研修へ申し込む際に使用したアカウントを選択してください。
- 過去に受講したトレーニングも含め、申し込み済みのトレーニング一覧が表示されます。
- 一覧から「AWS Security
Essentials」を探し、「Open」をクリックしてください。
- 受講者ポータルの最上部にあるタイトルが、「AWS Security Essentials」であることをご確認ください。
- 受講者ポータルから、ラボ(ハンズオン)の実施や、教科書の閲覧ができます。
【3】受講者ガイド(教科書)の引き換え
- eVantage Bookshelf のアカウント登録をお願いします
- 既にBookshelfのアカウントを作成済みの方は、本手順はスキップしてください
- 受講者ポータルに戻り、上から2行目の右側にある「受講者ガイド」ボタンをクリックしてください。
- [eVantage
Bookshelf]の認証が求められますので、先ほど登録したIDとPWを入力してください。
- 認証後、受講者ガイドの閲覧ができます。
- 受講者ポータルへ戻り、「ラボガイド」についても同様に閲覧できることをご確認ください。
- テキストに関するご案内
- トレーニング中は、テキストではなく、Webexの画面を見ながら受講をお願いします。
- スライドの並び替え、取捨選択、補足資料の追加などをしております。
- そのため、閲覧できることが確認できたらテキストは閉じて頂き、Webexの画面を見ながらの受講をお願いします。
- テキストはトレーニング終了後の復習にお役立てください。
- 講義で用いる教材は、本編の教科書である「Student Guide」、演習の手順書である「Lab Guide」の2種類です。
- 稀に、引き換え後にガイドが表示されないことがあります。同期の問題であることが多いので、午後に [更新] ボタンを押してみてください
- トレーニング中は、テキストではなく、Webexの画面を見ながら受講をお願いします。
【4】参考リンク集のURLを保存
- 当ページ(参考リンク集)をブックマークしてください。
- 参考リンク集はトレーニング終了後も参照可能です。ただし、個人で運営しているサイトのため、予告なく移動・削除する可能性があります
- ラボ(ハンズオン)環境は、30日後の23:00までご利用いただけます。
- ただし、トレーニング終了後に、QAサポートや受講者ポータルのURL再発行といった対応はできません
- 教科書は、引き換え後、730日間閲覧可能です。
モジュール補足
リンク切れ等ございましたらお知らせください。 また、外部サイトの内容については内容の保証はしかねる点について予めご了承ください。
Mod01 (セキュリティの柱を学ぶ)
Mod02 (クラウドのセキュリティ)
- 責任共有モデルとは何か、を改めて考える | Amazon Web Services ブログ
- データセンター - AWS のデータセンター
- AWS 導入事例: 株式会社ジェーシービー
- AWS リスクおよびコンプライアンス | AWS
Mod03 (アイデンティティとアクセスの管理)
- 【実録】アクセスキー流出、攻撃者のとった行動とその対策 | DevelopersIO
- AWS IAM | Black Belt
- セキュアでスケーラブルな AWSアカウント統制プラクティス最新動向
- え、IAM ユーザーを作らなくてもマネジメントコンソールにログインできるの!? – シングルサインオン考え方編 | AWS Startup ブログ
- IAM ユーザー - AWS Identity and Access Management
- テクニカルトレーナーと学ぶ AWS IAM ロール ~ ここが知りたかった ! つまずきやすい部分を理解してモヤっとを解消 - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
- AWS Organizations における組織単位のベストプラクティス | Amazon Web Services ブログ
- AWS の API を理解しよう ! ~ 初級編 : API の仕組みと利用方法を理解しよう - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
- Amazon S3 セキュリティベストプラクティスの実践(権限管理のポリシー) – 前編 | Amazon Web Services ブログ
- ポリシーの評価論理 - AWS Identity and Access Management
- AWS KMS | Black Belt
- MIXI M が AWS Key Management Service(KMS)を用いて 3D セキュアを実装、暗号鍵管理とコンプライアンス対応のコストを最小化 | Amazon Web Services ブログ
Mod04 (インフラストラクチャとデータの保護)
- Amazon VPC のインフラストラクチャセキュリティ - Amazon Virtual Private Cloud
- AWS テクニカルトレーナーと学ぶ Amazon CloudFront ~ エッジロケーションを使った通信の仕組み - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
- AWS 導入事例:株式会社エウレカ | AWS
- ココナラが DDoS 攻撃の脅威を分析し、対策を実現するまで - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
- セキュアなコンテンツ配信 - 最新の攻撃トレンドと対策アプローチ
- 共通脆弱性識別子CVE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
- Cloud Operations on AWS | クラスルームトレーニング | AWS
Mod05 (検出と対応)
- 【実録】アクセスキー流出、攻撃者のとった行動とその対策 | DevelopersIO
- AWS 導入事例:マネーツリー株式会社 | AWS
- どうしても語りたい AWS Systems Manager の魅力 ! ~第 1 回 こんなに簡単にシステム運用が自動化できるなんて !- builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
- AWS 環境におけるセキュリティインシデントの調査・対応⽅法
- AWS セキュリティインシデント対応ガイド - AWS セキュリティインシデント対応ガイド
- AWS 環境でセキュリティレスポンスの自動化を始める方法 | Amazon Web Services ブログ
ラボ補足
全体
- ブラウザについて
- ブラウザは Chrome もしくは Firefox をご利用ください。
- ブラウザの翻訳機能はオフにしてください。
- 手順書の記載が誤って自動変換される可能性があります。
- ラボは自分のペースで進めてください
- とりあえず手順を進めてみて動作を確認して理解を深めるのも良いですし、手順を1つずつ咀嚼しながら進めるのも良いです。
- 講義全体の時間管理があるのでタイムリミットはありますが、最後に必ず解説を行います。
- 解説の際にラボでどんな操作をしていたのか説明しますのでご安心ください。
- ラボの注意
- 1つ1つの手順を確認して実施してください
- 序盤の手順でミスをしてしまったことが理由で、後半の手順が失敗することがあります。
- パラメータやコマンド入力はラボガイドからコピー、ペーストしてください。
- 手入力だと間違えが多くなります。
- 日々マネジメントコンソールのUIが変わっているため、アップデートのタイミングによっては手順書と実際の手順に差分がある可能性がございます。
- 適宜、手順書の記載に近い操作に読み替えて実施してください
- 「End Lab」をクリックしないように注意してください。
- ラボを終了すると、再度開始するまでに、15分程度待ち時間がございます。
- 講義では、講師が事前ロードをしているため、待ち時間は発生しません。
- 1つ1つの手順を確認して実施してください
- マネジメントコンソールの注意
- 稀に、マネジメントコンソールの言語が英語になっていることがあります。その場合は、画面右上の「awsstudent」をクリックし、[Settings] のページから言語を切り替えられます。
- 言語設定を日本語にしていても、ALBやターゲットグループ関連のページが英語表記になることがあります。設定上問題ありませんので、読み替えて手順を進めてください。
- リージョンは、受講者ごとに割り振られます。ラボ開始時にご自身のリージョンをご確認ください。
- “ナビゲーションペイン” という言葉が登場しますが、左側に並んでいるメニューのことです。
- TIPS
- [サービス ▼] から、よく使うサービスに「★」をつけておくと便利です。
- サービス毎に新しいタブを使用すると、サービスの行き来が楽になります。
- 可能であればモニターは複数用意していただくとラボ(ハンズオン)を効率的に進めることができます。(手順書と操作画面を行ったり来たりします)
Lab1
- 目的
- マネジメントコンソールの操作に慣れよう
- IAMユーザ、IAMグループ、IAMポリシーの関係を理解しよう
- 概要
- IAMグループに所属しているIAMユーザで動作を確認する
- スイッチロールの動作を確認する
- リソースベースポリシーの動作を確認をする
- タスク1
- 手順4
- 事前に手順画面右上のコンソールを開くボタンを押してログインしていた場合、ログアウトの処理の後にサインインページが開きます。
- 上記の動作は想定通りです。
- トレーニング環境では、右上の「コンソールを開く」ボタンをクリックすると、シングルサインオンの仕組みにより、自動発行したラボ用のロールでマネジメントコンソールにログインします。
- タスク1では「user-1」という名前のIAMユーザで動作確認をしていきます。
- なお、1つのブラウザで一度にログインできるユーザは1人までとなっております。
- もし、複数のIAMユーザで同時にログインをしたい場合、別のブラウザかシークレットウィンドウでログインする必要があります。
- 手順6
- 手順書画面の左側にあるメニューに記載されている「LabRegion」を確認してください
- 手順書画面の左側にメニューが表示されていない場合、手順書画面の左上にある「三」ボタンをクリックしてください。
- 以降の手順は「LabRegion」に記載のリージョンで作業を進めてください。
- どのリージョンが割り当てられるかは受講者ごとに異なります。
- 例えば、割り当てられているリージョンが「us-east-2」の場合、オハイオで作業を進めてください。
- 手順11-13
- 各項目でエラーがでたかと思いますが、想定通りの動作です。
- 「user-1」はEC2に関する権限を持っていないので、操作ができないということを確認しています。
- 手順14
- 本手順はスキップしてください。
- 最近S3のUIがアップデートされ、[アクセス]列がなくなりました。
- 「不十分なアクセス許可」の表示は確認できません。
- 手順4
- タスク2
- 手順22
- バケット名のみ入力し、リージョンを選択する手順はスキップしてください。
- S3のUIに変更があり、リージョンは自動入力されるようになりました。
- 手順22
- 早く終わった方
- オプションタスクにチャレンジしてみてください。
- IAMポリシーの項目を確認してみよう
- IAM JSON ポリシー要素のリファレンス - AWS Identity and Access Management
- Principal:誰が
- Resource:どのリソースに対して
- Action:どんな操作を
- Condition:どんな時に
- Effect:許可 または 拒否 する
- 特定の送信元IPアドレスからのアクセスだった場合のみ操作を許可するにはどうしたら良いでしょうか?
- 参考リンク集にある事例やセッション資料をご確認ください。
Lab2
- 目的
- セキュリティグループを使用したリソースの保護について理解を深めよう
- 概要
- 既存のセキュリティグループについて、ルールと挙動をチェックする
- リソースへのアクセスを特定のIPアドレスからの通信のみ許可するように制限する
- セキュリティグループのチェーン構造を確認する
- 早く終わった方
- パブリックサブネットに作成されているEC2インスタンス「PublicServer/ProxyServer」に「ping」コマンドを実施して、疎通確認をしてみましょう。
- コマンド:ping
- ping は成功するでしょうか?失敗するでしょうか?
- 予想通りの結果になりましたか?
- もし ping
が失敗した場合、どのリソースの設定を修正すればpingが成功するか考えてみましょう!
- ヒント:pingはプロトコルとしてICMPを使用します。
- コマンド:ping
- 参考リンク集の事例やセッション資料を見てみてください。
- (まだの方)受講者ポータルのURL「https://classrooms.aws.training/」をお手元に控えてください。
- パブリックサブネットに作成されているEC2インスタンス「PublicServer/ProxyServer」に「ping」コマンドを実施して、疎通確認をしてみましょう。
今後の学習情報
- AWS 全般の学習情報
- AWS セキュリティ関連の学習情報