カスタマーマネージド キーは、保存データの暗号化には使用されません。

デフォルトでは、暗号化が有効になっている場合、AWS は AWS が管理するキーを使用して保存データを暗号化します。カスタマーマネージド キーを使用すると、組織は、選択した暗号鍵を使用してデータを暗号化できます。これにより、組織は暗号化プロセスをより適切に制御し、ログに記録できます。

そのため、カスタマーマネージド キーは通常、次のような要件 (これに限らない) に対処するソリューションの一部です。
- 機密データへのアクセスの監査ログ
- データ所在地
- キーの交換、無効化、または破棄

aws/service-name 形式のキーは、AWS 管理のキー用に予約されていることに注意してください。

アクセス設定が緩いと、システムが公開され、組織の攻撃対象領域が広がる可能性があります。一般に公開されているサービスは、通常、悪意のあるエンティティによるほぼ継続的なスキャンとプロービングの対象になります。

これは、公開されたサービスのゼロデイ エクスプロイトが発見され、公表された場合 (Heartbleed など) に、特に問題になります。攻撃者は、パッチが適用されていない、公開されたシステムを積極的に追跡、検索して、それを悪用できます。

アクセス設定が緩いと、システムが不必要に公開され、組織の攻撃対象領域が広がります。一般に公開されているサービスは、通常、悪意のあるエンティティによるほぼ継続的なスキャンとプロービングの対象になります。

これは、公開されたサービスのゼロデイ エクスプロイトが発見され、公表された場合 (Heartbleed など) に、特に問題になります。攻撃者は、パッチが適用されていない、公開されたシステムを積極的に追跡、検索して、それを悪用できます。

例 1: 次の Ansible タスクは、世界 (0.0.0.0/0) に対して TCP ポート 22 を開く AWS セキュリティ グループを定義します。SSH サーバーは通常、受信接続リクエストに応答します。

- name: Task to open SSH port
  amazon.aws.ec2_group:
    name: demo_security_group
    description: Open the ssh port to the world
    state: present
    vpc_id: 123456
    region: us-west-1
    rules:
    - proto: tcp
        ports: 22
        cidr_ip: 0.0.0.0/0

重要なリソースまたは機密リソースへの制御されていないアクセスは、重要なデータの開示や改ざんなど、さまざまな方法で組織に重大な影響を与える可能性があります。

アクセス設定が緩いと、システムが公開され、組織の攻撃対象領域が広がる可能性があります。一般に公開されているサービスは、通常、悪意のあるエンティティによるほぼ継続的なスキャンとプロービングの対象になります。

これは、公開されたサービスのゼロデイ エクスプロイトが発見され、公表された場合 (Heartbleed など) に、特に問題になります。攻撃者は、パッチが適用されていない、公開されたシステムを積極的に追跡、検索して、それを悪用できます。

リソースへの無制限のアクセスを許可する IAM ポリシーは、組織を危険にさらします。不適切に設定されたポリシーは、リソースへの変更を制御および管理する組織の能力を弱体化させます。

Lambda プリンシパルのワイルドカード設定は、最小特権の原則に違反し、攻撃者が任意のアカウントから Lambda を呼び出すことを可能にします。

例 1: 次の Ansible タスクの例では、ワイルドカード Lambda プリンシパルを定義します。

- name: Create Lambda policy statement for S3 event notification
  community.aws.lambda_policy:
    action: lambda:InvokeFunction
    function_name: functionName
    principal: *
    statement_id: lambda-s3-demobucket-access-log
    source_arn: arn:aws:s3:us-west-2:123456789012:demobucket
    source_account: 123456789012
    state: present