AWS

Active DirectoryやSimple ADと連携して“会社のアカウント”でログインできるようにする。大量のユーザーを一元管理できるし、既存の社内ルールやパスワードポリシーを活かせるんだ。

1枚の証明書に“example.com”と“example.org”など複数ドメインをまとめられる仕組み。いくつも証明書を発行しなくていいから管理が楽だし、複数サイトを一度にHTTPS化したいときにもいいんだ。

ログイン時に追加でワンタイムパスコード(OTP)を要求するなど“2段階認証”を使える。大事な仕事用デスクトップを守るために、アカウントとスマホアプリを組み合わせるなどでセキュリティを高められるんだ。

AWSの“設定の変化”を記録して、いつどんな変更があったかを追跡できるサービスだよ。ネットワークルールやセキュリティグループがどう変わったかなどを時系列に残して、もし問題が起きたらすぐ原因を探せる。

特定の種類のリソースだけを記録するなど、細かい対象範囲を設定できる。全リソースを監視したい場合は全部オンにするけど、コストや運用ポリシーに合わせて一部だけ拾う選択も可能。

一つ一つのリソースが“今どんな状態か”を記録する情報だね。IPアドレスやタグ、セキュリティ設定などの詳細がそこに入っていて、時間とともにどう変わったかも追えるんだ。

リソースにつけたタグも一緒に記録してくれるから、“このタグが付いたサーバーが何台あるか”を時系列に追ったりできる。チーム名や用途のタグを基に、過去の変更を探したりも楽になるんだ。

Configが記録をとる“カメラ”のようなもので、これをオンにしておくと指定したリソースの設定状態を自動で撮影する。止めるとログが残らないので、監査目的なら必ず動かしておきたいね。

Configで検出したルール違反をSecurity Hubに集めて、脆弱性スキャン結果などほかのセキュリティ情報と一緒に一覧できる。セキュリティ関連を一本化すればチームの作業も楽になり、漏れが減るんだ。

撮った記録を“どこに送るか”決める仕組み。たとえばS3バケツに保存したりSNSで通知を出したり。設定次第でいろいろな連携ができて、監査ログをまとめて保管したり警告アラートを飛ばしたりするんだ。