内容

　書名のとおり、セキュリティがテーマです。そしてただのセキュリティを題材にすると、いろいろな方面からまさかりが飛んできそうなので、AWSのアカウントセキュリティと限定しています。で、アカウントセキュリティとはなんぞやという話ですが、前作ではAWSを扱う上での認証認可のサービスであるIAMをテーマにしていました。ここをしっかりしていると、ことAWSのアカウントまわりという点では６〜７割くらいはカバーできているのではと思っています。一方で、長く使っていると気が付かぬ穴や、複数人で使って誰かがやらかす人も出てくる可能性があります。この辺りを仕組みとしてカバーできるようにしようというのが、今回のアカウントセキュリティ本です。

構成

　構成としては、８章構成です。１章でアカウントセキュリティの説明と、AWSでセキュリティを考える際はどういった領域があるのかの分類をしています。２章はガードレール設計としてAWSのControl Towerの説明をしています。ここで、AWSが目指している方向性を見てもらった上で、以降で自分のアカウントにどのように設定していけばよいのかの解説が続きます。
　３章は主要なAWSサービスの説明をし、４章でチュートリアルとしてAWS Organizationsを使って、2アカウント構成での設定をしています。はい。マルチアカウント構成にしています。当初は予定なかったのですが、アカウントセキュリティを語る上で、Organizationsのサービスコントロールポリシー（SCP）は外せないという判断に至りました。個人ユースでマルチアカウントとドン引きされる可能性を恐れましたが、ここは敢えてマルチアカウント構成です。書いてみた感想としては、もう個人でもマルチアカウント構成でやった方がよいのじゃないかなと思うようになりました。その理由が、OrganizationsとCloudFormation StackSetsの組み合わせです。
　５章のテーマががCloudFormationです。ここはサラッと終わらせるつもりだったのですが、執筆途中に前述のOrganizationsとCloudFormation StackSetsが出てきたので、再びチュートリアルを含めて書いています。この組み合わせの何が素晴らしいかというと、OU傘下に入れば自動的にCloudFormation StackSetsを走らせるということが出来るようになったことです。セキュリティ設定は、どこかに穴があればそこからつけこまれます。人間は必ずミスをするので、繰り返しの作業には向きません。じゃあどうすればよいのという解答に、OrganizationsとCloudFormation StackSetsの組み合わせです。これ本当に素晴らしいです。
　６章・７章が書名のタイトルからいくとメインのコンテンツになる、セキュリティと運用の設計の考え方です。ここについても、どういった切り口で解説するのがよいか悩みました。マニアックな話の路線を踏襲するのであれば、具体的な設計・設定集になるのですが、今回はもう少し考え方の方に重きをおきました。そうした時に、じゃあ何を拠り所にすべきかという点で、NIST サイバーセキュリティフレームワークのコアとAWS Well-Architected Frameworkを中心に解説するというスタイルに落ち着きました。賛否あるとは思いますが、まず読んでいただければと思います。
　最後の章はまとめです。それぞれの章のポイントと次回作ですべきことを書いています。マルチアカウント管理です。

次回作

　次回作としては、前々からの宣言通りAWSのマルチアカウント管理を書く予定です。ただSecurity HubやOrganizationsのSCP周りは既に書いているので、次はOrganizationsのOUの構造とかSSO周りを中心に薄くまとめる予定です。
　それ以外に、今回はあまり設定まわりのところを書けなかったので、マニアックな話としてConfig RulesとCloudFormationをそれぞれ独立して書いてもよいかなと思っています。いつ書くかが問題ですが。。。

技術書典8のサークル

　「チームになった佐々木です」というふざけたチーム名で出していましたが、他のメンバーはしっかりと書いて、好評を博しています。技術書典8で発表された中で、ベスト８に全員入っているという快挙です。どれも良い本なので、ぜひ見てみてください。

booth.pm

booth.pm

booth.pm

まとめ

　今回は特に難産で疲れました。その分、執筆を通じて私自身も随分レベルアップできたかと思います。査読として周りの人に読んでもらうと、AWSでこんな事ができるなんて知らなかったという声が沢山ありました。
　AWSはどんどんと新しく便利な機能が出てきています。それを自分ひとりで追い続けるのは大変です。そういった人の手助けになれるような１冊になれればよいなと思っています。

AWS Organizations × CloudFormation StackSetsの組み合わせが素晴らしい
AWSのアカウントセキュリティ本を書いて気がついた、これからのセキュリティ対策

目次

はじめに
　本書の目的
　対象読者
　本書で得られること
　本書で得られないこと
　お問い合わせ先
　免責事項

第1章 AWSアカウントセキュリティ
1.1 AWSのセキュリティとサービスの概念図
　AWS上に構築するシステムのセキュリティ
　AWSアカウント自体の管理（IAMの設計・運用）
　セキュリティを維持管理するための施策
1.2 責任共有モデル
1.3 AWS上に構築するシステムのセキュリティ
1.4 AWSアカウントの管理
1.5 セキュリティを維持管理するための施策
1.6 マルチアカウント管理

第2章 ガードレールという設計と思想
　2.1 Control Towerの全体像
　2.2 ガードレールの設計と思想
　2.3 予防と検知の実体

第3章 AWSのセキュリティサービス
　3.1 NISTサイバーセキュリティフレームワーク
　　CSF コア
　3.2 AWSのセキュリティサービスの全体像と対象領域
　3.3 CloudTrail
　　CloudTrailの注意点
　　CloudTrailのログ集約
　3.4 Config
　　Config
　　Config Rules
　3.5 GuardDuty
　　GuardDutyの分析対象
　　脅威の重要度と通知・対処
　3.6 Security Hub
　　Security Hubの集約対象
　3.7 AWS Organizations
　　AWS Organizationsの構成要素
　　組織単位（OU）と階層構造
　　サービスコントロールポリシー（SCP）
　　SCPとIAMのアクセス許可の境界
　3.8 Trusted Advisor

第4章 サンドボックスアカウントの作成のチュートリアル
　4.1 サンドボックス環境の要件
　4.2 サンドボックス環境の全体像
　4.3 設定の流れ
　4.4 Organizationsの設定
　　Organizationの作成
　　サンドボックスアカウントの作成
　　組織単位（OU）の作成
　　OU配下にアカウントを移動
　4.5 マスターアカウントでの設定
　　設定用のIAMユーザー作成
　　IAMのアクセスアナライザーの設定
　　組織に対するCloudTrailの設定
　　Configの有効化
　　Configのアグリゲータの設定
　　Security Hubの有効化
　4.6 サンドボックスアカウントの設定
　　Organizationsで作成したAWSアカウントへのログイン
　　設定用のIAMユーザー作成
　　監視・監査ログの収集と集約
　4.7 問題の検知と通知
　　セキュリティグループの全開放を検知するConfig Rule
　4.8 問題検知時の復旧
　　SSMで利用するIAMロールの作成
　　自動修復の設定
　　修復の確認
　4.9 アカウントのサンドボックス化
　　サービスコントロールポリシー（SCP）の有効化と設定
　　禁止行為を抑制するポリシーを作成する
　　サンドボックスアカウントにポリシーを適用する

第5章 CloudFormationを利用した構成管理
　5.1 CloudFormationで管理する理由
　5.2 CloudFormationで管理する範囲
　5.3 複数アカウントに適用するCFn StackSets
　　CFn StackSetsとOrganizationsの連携
　5.4 StackSetsのチュートリアル
　　StackSetsの作成
　　テンプレートの選択
　　StackSetsの権限設定
　　デプロイターゲットの設定
　　動作確認
　5.5 テンプレートの設計
　　サービスのセットアップとルール設定の分離
　　アカウント共通設定と個別設定の境界
　　CloudFormationの具体的な構造
　5.6 CloudFormationのまとめ

第6章 アカウントセキュリティの設計の考え方の原則
　6.1 CSFコアとAWSの設計原則にみるセキュリティ
　6.2 AWSのセキュリティ ベストプラクティス
　　アイデンティティ管理とアクセス管理
　　発見的統制
　　インフラストラクチャ保護
　　データ保護
　　インシデント対応
　6.3 セキュリティ設計のまとめ

第7章 障害の検知と復旧の考え方
　7.1 AWSの運用の原則を知る
　7.2 AWSのサービスを使った検知と復旧
　7.3 統合サービス Security Hubの位置づけ
　7.4 Security Hubと個別検知の使い分け
　7.5 監視と検知
　7.6 通知
　7.7 対応と復旧
　　AWSの自動復旧のパターン
　7.8 Security Hubの活用

第8章 まとめとマルチアカウント管理への道
　8.1 セキュリティ設計と運用
　8.2 Organizationsのサービスコントロールポリシー
　8.3 Security Hubの導入
　8.4 マルチアカウント管理への道
　8.5 まとめ

あとがき
　著者紹介
　既刊一覧

クラウドネイティブファーストストーリー

コンテナとBlue Greenデプロイ、DevOpsについて一日中喋り続けられる新井さんと、ボイスUI本の作者でありAlexaマスターの馬勝さんによるコンテナ＆DevOps本です。

概要：

クラウドネイティブを支える技術である「コンテナ」と「CI/CD(継続的インテグレーション/継続的デリバリー)」を中心トピックにご紹介します。本書を通して、自分達が過去に悩んだ点、躓いた点、気をつけなければならない点などをシェアすることで、クラウドネイティブなアプリケーションの開発を考えている方々に最初の一歩をお手伝いしたい、という想いから執筆しました。
本書は、AWSのECS/Fargate/Codeシリーズなどの各種サービスを組み合わせていくことで、コンテナやCI/CDのベース環境の構築を行うハンズオン形式で構成しています。アプリケーション観点というよりは、インフラストラクチャーや運用観点にトピックの主軸を置いています。
中級者にも満足してもらうために、ハンズオン内には随所に構築に役立つTipsや補足情報なども記載していますので、是非、Tipsを探して読んでみてください。

対象読者：

• AWSでコンテナ・CI/CDを使ったことがなくチャレンジしてみたい方
• AWSでコンテナ・CI/CDの構築に苦戦している方
• コンテナ・CI/CDに関して、初心者から中級者にステップアップしたい方

技術者としてメチャクチャ濃い二人の共著です。飲みに行っても、俺のデプロイ方法を聞けとずっと語っている二人です。そんな二人の熱い思いがこもった一冊です。
ちなみに表紙の動物は名前からとって、アライグマと馬とのことです。かわいい表紙にハードコアな内容のギャップに期待！！

CognitoとAuth0とFirebase認証を比べる

Amazon Web Services クラウドネイティブ・アプリケーション開発技法の共著者である高柳さんは、Webシステムを実装する上で、認証をどうするか。それの実装であるメジャーなサービスの比較です。

概要：

ユーザーのIDを管理するのはWebサービスを展開する上で必要になりますが、独自で実装するにはハードルが高いです。外部のサービスを利用することでユーザーのサインアップとサインインを比較的簡単に実現できます。この本ではCognito User Pools、Auth0、Firebase Authenticationを中心にサービスの紹介と比較をします。

高柳さんは、モバイルアプリやサーバレスアーキテクチャを中心に取り組んでおり、最近は何の因果かひたすらシステムの認証認可周りの担当をしています。そんな経験がギュッと詰まった一冊になると思います。

AWSを通じて、とにかくモニタリング（監視）を考える本

同じくAmazon Web Services パターン別構築・運用ガイドとAmazon Web Services クラウドネイティブ・アプリケーション開発技法の共著者である佐藤さんは、モニタリングの話です。なんかエモい話が聞けそうです。

概要：

2020年になり、2010年代が終わりました。2010年代はクラウドやコンテナが発展とともに、「モニタリング(監視)」の形も大きく変わったと思います。この本は、「モニタリング(監視)」というテーマについて、CloudWatchを中心にAWSの各サービス見ながら、今何を監視すべきなのか、どのように行うべきかを著者の経験を基に考えて行く本です。
また、本来技術書であれば、客観的に事実や理論を記述していくと思いますが、今回は同人誌という形でもあるので、普段私が監視について考えていることをなるべく主観を交えてありのまま書いて行きたいと思います。そして、所々この10年を振り返りつつ記述していきますので、ある意味「2010年代を生きたエンジニアが残したサーバー監視にまつわる手記」のようなものと思って楽しんでいただければ幸いです。

対象読者：

• 普段なんとなく監視を行っている人
• 他の現場のエンジニアがどのように監視を考えているか気になる人
• AWSを触り始めたが、どのように監視を設計していけばいいかわからない人

ユーザー企業で働く佐藤さん。大規模なAWS運用を支えてきた実績にもとづくポエムが期待です。

pages.awscloud.com

まとめ

　自分で言うのも何ですが、かなり濃いメンバー集めての出展です。締め切り近づいているのに、全然執筆の時間が取れず焦っておりますが、なんとかやりとげます。ぜひ、当日お会いいたしましょう！！初日（2/29）の『い２０』です

なお、BOOTHの紙版で品切れ中であるIAM本も増刷します。紙の本が欲しいよという方は、ぜひBOOTHに起こしてください。オンライン版を既に購入済みの方には、何らか安売りの方法検討します。
booth.pm

サークルページはこちらなので、ぜひチェックをお願いします。刷り部数に影響します！！
techbookfest.org

アンバサダーとは？

　知らない人も多いと思うので、APN Ambassadorの制度の紹介を最初にしておきます。AWSさん曰く、アンバサダーは
『APN Ambassadorは、世界中のAPN Consulting Partnerから卓越した技術力を持ち、社外への情報発信（セミナーでの発信、Blogや書籍での発信）をしているメンバーが選出されます。』とのことです。私の場合は、会社内でもAWS関係のビジネスの責任者でもありますし、書籍出版などもしておりますので、その辺りが評価されたのかなと思っています。

　選ばれた経緯等は下記のエントリーで紹介しているので、興味がある方は読んでください。
blog.takuros.net

アンバサダー特典

　アンバサダー特典については、どこまでが守秘義務の範囲か定かではないので詳細は書きません。が、主たるものとしては、自分を含めた所属する組織が、よりAWSを学べるように優先的に機会を与えられるといったものと理解しています。もう少しだけ具体的に話すと、AWSのそれぞれの担当者とディスカッションの機会が増えます。そこで要望等をダイレクトに伝えられるようになります。
　それ以外に外形的なものとしては、re:Inventのキーノートでアンバサダー向けの予約席があったりします。朝早く起きなくても、前の席に座れるので楽ちんです。

アンバサダーは特典を与えるものではない

　上記がアンバサダーの特典なのですが、前回のre:Inventに参加して、特典を与えられることに満足していては勿体無いということに気が付きました。アンバサダーであれば、何かアクションをする機会を格段に得やすくなります。先述のAWSとの打ち合わせの機会もそうですが、外部への登壇等も同じです。アンバサダーという箔があるので、外部との調整が格段にしやすくなります。○○という施策（イベント・ミーティング・その他）が必要なので、やってみませんかという調整がしやすくなります。それこそ当社比100%程。
　せっかくアンバサダーになったので、それを使ってアグレッシブに活動しないと勿体無いということですね。

今後の活動

　AWSのアンバサダー担当の相澤さんからは、常に「Go Globalの精神で、世界に進出していってください」と言われています。前回のre:Inventでその言葉が意味することを、少し垣間見れたような気がします。やらなきゃなという気持ちになったので、あとは自分の得意とすることでGo Globalします。