▼どんな本？
本書は、クラウドネイティブシリーズの2作目として、主要なパブリッククラウドであるAWSとIaC(Infrastructure as Code)をテーマとした技術書籍です。

クラウドネイティブな構成が浸透するにつれて、クラウドサービスを上手に組み合わせることでビジネスを加速させるスタイルが主流となりつつあります。そして同時にクラウドを適切に使いこなす力が求められています。ソフトウェア開発のようにクラウドを使いこなすことは、ソフトウェア開発のプラクティスやエンジニア間のシナジーを高められる観点から、IaCはクラウドネイティブに取り組む上で重要なトピックです。現在では多様なIaCサービスの登場により、エンジニアは自分たちのユースケースに併せてツールを選択できるようになりました。そこで本書では、これからIaCの利用を考えている方や、現在利用しているIaCと対比して新しいIaCを知りたい方に各IaCの特徴と選ぶ際の考え方をまとめてみました。AWSを主軸に執筆していますが、他のパブリッククラウドを主軸として開発されている方にとってもストレスなく読み進められるように配慮しています。

本書とともに、IaCの世界へ飛び込みましょう。

▼本書で得られること
• IaC とは何かを知ることができます
• なぜ IaC が求められているのか理解できます
• 次の代表的な 4 つの IaC サービスの特徴を知ることができます
　・CloudFormation
　・AWS CDK
　・Terraform
　・Pulumi
• 各 IaC サービスの違いを理解し自分たちにあった IaC サービスを選択できます

▼対象の読者層は？
• IaC 自体に興味をお持ちの方
• 新しい IaC について知りたい方
• これから IaC に取り組まれようとしている方
• AWS でインフラストラクチャを管理している方
• 既存の IaC で悩みを持っている方

▼どんな本？
クラウドネイティブを支える技術である「コンテナ」と「CI/CD(継続的インテグレーション/継続的デリバリー)」を中心トピックにご紹介します。本書を通して、自分達が過去に悩んだ点、躓いた点、気をつけなければならない点などをシェアすることで、クラウドネイティブなアプリケーションの開発を考えている方々に最初の一歩をお手伝いしたい、という想いから執筆しました。本書は、AWSのECS/Fargate/Codeシリーズなどの各種サービスを組み合わせていくことで、コンテナやCI/CDのベース環境の構築を行うハンズオン形式で構成しています。アプリケーション観点というよりは、インフラストラクチャーや運用観点にトピックの主軸を置いています。中級者にも満足してもらうために、ハンズオン内には随所に構築に役立つTipsや補足情報なども記載していますので、是非、Tipsを探して読んでみてください。

▼本書で得られること
• AWSの各種サービスを組み合わせたコンテナやCI/CDのベース環境の構築を行うハンズオン
• インフラストラクチャや運用観点に軸をおいたAWS構築の知識
• 中級者の方々にも満足していただくためのAWSの構築や仕組みを理解するTips

▼対象の読者層は？
• AWSでコンテナ・CI/CDを使ったことがなくチャレンジしてみたい方
• AWSでコンテナ・CI/CDの構築に苦戦している方
• コンテナ・CI/CDに関して、初心者から中級者にステップアップしたい方

技術書典7で頒布したAWS本です。

■ 本書の目的

本書はIAMの機能に絞って解説するという機能特化本です。

筆者は今まで、商業誌で「AWSの基本機能」、「サーバレス」、「業務システム」、「試験対策」をテーマに4冊のAWS本を書きました。
テーマに沿って必要な機能を紹介していくというスタイルだったのですが、今回は逆に機能を元に解説するというスタイルに挑戦しています。

それでなぜ、IAMなのでしょうか？AWSが不正利用されて100万円の請求が来たというようなニュースを、ネットで時々目にする事があります。原因の多くがIAMのアクセスキーをGitHubに誤ってコミットしてしまい、そのキーを不正利用されたケースです。そういった事態を防ぐために正しくIAMを知って貰いたいのです。

IAMは、AWSの利用権限を管理する極めて重要な機能です。AWSには多種多様な機能があり、IAMはそれに応じて様々な記述方法で権限を設定できるようになっています。その分設定項目が多く、IAMは難しいと印象を持っている人も多いのではないでしょうか。また、ある程度IAMに習熟した人にとっては、他の人かどのような方針でIAMの権限設計をしているか気になるという人も多いでしょう。そんな要望に応えるべく、筆者の考えるIAMのベストプラクティスをまとめてみました。

■ 対象読者

• AWSアカウントのルートユーザーでAWSを使っている人
• IAMユーザーで使ってるけど、Administrator権限しか付与したことがない人
• 企業内でAWSを導入済みで、異なるロールの様々な人にIAMの権限を振り分ける必要がある人
• お一人様AWS利用だけど、AWSを不正利用されないようにちゃんとIAMを使いたい

■ 本書で得られること

• IAMの機能に関する一通りの知識と、権限設計のノウハウ
• 設計する上でのセキュリティの考慮点と運用について
• IAMマニアの称号

■ IAM本の評判
『AWSの薄い本 IAMのマニアックな話』に関するTweetまとめ
https://togetter.com/li/1419663

目次
はじめに
　本書の目的
　対象読者
　本書で得られること
　お問い合わせ先
　免責事項

第1章 AWS と IAM
　1.1 認証と認可
　1.2 AWS のアカウント種類
　1.3 AWSアカウント
　1.4 IAM ユーザ
　1.5 注意とお願い

第2章 IAM の機能
　2.1 IAM ユーザー
　2.2 IAM グループ
　2.3 IAM ポリシー
　2.4 IAMロール
　2.5 パーミッション・バウンダリー
　2.6 IAMの機能のまとめ
　【コラム】　AWSアカウントとIAMの関係

第3章 IAM チュートリアル
　3.1 IAMポリシーの作成
　3.2 IAMグループの作成
　3.3 IAMユーザーの作成
　3.4 クロスアカウントロールの作成
　3.5 チュートリアルのまとめ

第4章 IAM ポリシーのデザインパターン
　4.1 ホワイトリスト・パターン
　4.2 ブラックリスト・パターン
　4.3 ハイブリット・パターン
　4.4 IAMポリシーのまとめ
　【コラム】　最小権限の探求

第5章 IAM グループのデザインパターン
　5.1 複数グループに所属
　5.2 グループ内に複数ポリシー
　5.3 IAMグループのまとめ
　【コラム】　IAMグループの階層構造について

第6章 IAM とセキュリティ
　6.1 IAMベストプラクティスの遵守
　6.2 ルートユーザーを使わない
　6.3 IAMに関する権限付与
　6.4 Lambdaのリソースベースの権限
　6.5 インターネット公開系の権限
　【コラム】　ec2の権限範囲の問題
　6.6 VPC内からのアクセス
　6.7 アクセスキーの原則禁止
　6.8 CapitalOneの情報流出事件に思うこと
　6.9 IAMとセキュリティのまとめ
　【コラム】　IPアドレス制限の是非とゼロトラストセキュリティ

第7章 IAM の運用
　7.1 IAMの運用の目的
　7.2 役割と責任範囲の明確化
　7.3 AWS アカウントの管理
　7.4 IAM ユーザーの管理
　7.5 アクセスキーの管理とCLI
　7.6 MFA 未利用時に権限を制限し、MFA 利用を促す
　7.7 マルチアカウントでの運用
　7.8 IAM運用のまとめ

第8章 IAMとCloudFormation

　8.1　IAMとCloudFormation
　8.2　CFnの分割単位・依存関係
　8.3　CloudFormationとIP制限
　【コラム】　ライフサイクルで考える

第9章 IAMのテンプレート集
　9.1 共通系ポリシー
　9.2 管理者グループ
　9.3 ネットワーク管理者グループ
　9.4 開発者グループ
　9.5 オペレーターグループ
　9.6 経理担当者グループ
　9.7 お一人様AWS
　9.8 IAMのテンプレートのまとめ

第10章 IAM以外のAWS サービスの活用
　10.1　AWS Organizations(組織アカウント)
　10.2　AWS CloudTrailとAWSConfig
　10.3　Amazon GuardDuty
　10.4　AWS ControlTowerとAWS SecurityHub
　10.5　今後のAWS運用について
　10.6　まとめ
付録 A アカウント開設時の設定チェックリスト

技術書典8で頒布予定だったAWS本です。IAM本の続編として、AWSのアカウントセキュリティをメインのテーマとしています。

■ 本書の目的

「AWSの薄い本Ⅱ　アカウントセキュリティのベーシックセオリー」を手にとっていただき、ありがとうございます。本書は「AWSの薄い本 IAMのマニアックな話」の続編です。前著はIAMの機能のみに絞って解説しましたが、本書はその周辺のセキュリティサービスがターゲットとなります。前著の続きとして読むこともできますし、単体でも成り立つように構成しています。

セキュリティというと難しそうで敬遠してしまいがちです。しかし、重要性は誰しも認識していると思います。特にAWSをはじめクラウドの場合、設定ミスにより不正利用されアカウントを乗っ取られることにより、突然高額の請求されるということが現実に起こりえます。注意しないといけないという点では、個人ユースでも企業ユースでも同じです。そして対策すべきポイントも同じです。

AWSのアカウントセキュリティとしては、IAMの設計・運用をしっかりしていれば６〜７割くらいは大丈夫といえます。しかし、最初はしっかりと設計・運用していても、気が付かないうちに穴があいていることもあります。また、複数人で使うようになると、誰か一人が不用意な使い方をするかもしれません。セキュリティは１箇所でも穴があると、そこから侵入される可能性があります。

AWSアカウントのセキュリティを守るのは、１対１の対決ではなく世界中の悪意ある攻撃者との対決です。24時間365日、人力だけで守り続けるのは難しいでしょう。そんな時に活躍するのがAWSのセキュリティサービスです。最初に設定さえしておけば、日々黙々とAWSアカウントの状況を監視し、問題があれば通知します。また、あらかじめ設定しておけば、自動で修復するといったことも可能です。本書では、そういったサービス群の位置づけと使い方の解説をします。

想定の読者のレベルとしては、AWS認定ソリューションアーキテクトのアソシエイトと置いています。しかし、まだそのレベルに達していない人が読んでも大丈夫なような記述を心掛けています。また、既にプロフェッショナルレベルの方や、AWS認定セキュリティ専門知識の方にも役立てるような内容を目指しています。それでは一緒に、AWSのアカウントセキュリティの道を歩みだしましょう。

■ 対象読者

• AWSのアカウント乗っ取りなど漠然とした不安がある
• 個人ユースで使っているが、AWSをもう少し安全に使いたい
• 企業ユースで使っているが、社内にAWSアカウントが増殖して何か怖い
• にわかだけど、セキュリティ考えてやってるよとマウントとりたい人

■ 本書で得られること

• AWSのセキュリティサービスの全体像が何となく解る
• AWSのアカウントセキュリティを守る上で必要な事の考え方
• Organizations　×　CloudFormation StackSetsファンの称号

■ 本書で得られないこと

• OSやミドルウェア周りのセキュリティ設定の仕方
• これだけやっていれば大丈夫というノウハウ
• IAMマニアの称号

目次
はじめに
　本書の目的
　対象読者
　本書で得られること
　本書で得られないこと
　お問い合わせ先
　免責事項

第1章 AWSアカウントセキュリティ
1.1 AWSのセキュリティとサービスの概念図
　AWS上に構築するシステムのセキュリティ
　AWSアカウント自体の管理（IAMの設計・運用）
　セキュリティを維持管理するための施策
1.2 責任共有モデル
1.3 AWS上に構築するシステムのセキュリティ
1.4 AWSアカウントの管理
1.5 セキュリティを維持管理するための施策
1.6 マルチアカウント管理

第2章 ガードレールという設計と思想
　2.1 Control Towerの全体像
　2.2 ガードレールの設計と思想
　2.3 予防と検知の実体

第3章 AWSのセキュリティサービス
　3.1 NISTサイバーセキュリティフレームワーク
　　CSF コア
　3.2 AWSのセキュリティサービスの全体像と対象領域
　3.3 CloudTrail
　　CloudTrailの注意点
　　CloudTrailのログ集約
　3.4 Config
　　Config
　　Config Rules
　3.5 GuardDuty
　　GuardDutyの分析対象
　　脅威の重要度と通知・対処
　3.6 Security Hub
　　Security Hubの集約対象
　3.7 AWS Organizations
　　AWS Organizationsの構成要素
　　組織単位（OU）と階層構造
　　サービスコントロールポリシー（SCP）
　　SCPとIAMのアクセス許可の境界
　3.8 Trusted Advisor

第4章 サンドボックスアカウントの作成のチュートリアル
　4.1 サンドボックス環境の要件
　4.2 サンドボックス環境の全体像
　4.3 設定の流れ
　4.4 Organizationsの設定
　　Organizationの作成
　　サンドボックスアカウントの作成
　　組織単位（OU）の作成
　　OU配下にアカウントを移動
　4.5 マスターアカウントでの設定
　　設定用のIAMユーザー作成
　　IAMのアクセスアナライザーの設定
　　組織に対するCloudTrailの設定
　　Configの有効化
　　Configのアグリゲータの設定
　　Security Hubの有効化
　4.6 サンドボックスアカウントの設定
　　Organizationsで作成したAWSアカウントへのログイン
　　設定用のIAMユーザー作成
　　監視・監査ログの収集と集約
　4.7 問題の検知と通知
　　セキュリティグループの全開放を検知するConfig Rule
　4.8 問題検知時の復旧
　　SSMで利用するIAMロールの作成
　　自動修復の設定
　　修復の確認
　4.9 アカウントのサンドボックス化
　　サービスコントロールポリシー（SCP）の有効化と設定
　　禁止行為を抑制するポリシーを作成する
　　サンドボックスアカウントにポリシーを適用する

第5章 CloudFormationを利用した構成管理
　5.1 CloudFormationで管理する理由
　5.2 CloudFormationで管理する範囲
　5.3 複数アカウントに適用するCFn StackSets
　　CFn StackSetsとOrganizationsの連携
　5.4 StackSetsのチュートリアル
　　StackSetsの作成
　　テンプレートの選択
　　StackSetsの権限設定
　　デプロイターゲットの設定
　　動作確認
　5.5 テンプレートの設計
　　サービスのセットアップとルール設定の分離
　　アカウント共通設定と個別設定の境界
　　CloudFormationの具体的な構造
　5.6 CloudFormationのまとめ

第6章 アカウントセキュリティの設計の考え方の原則
　6.1 CSFコアとAWSの設計原則にみるセキュリティ
　6.2 AWSのセキュリティ ベストプラクティス
　　アイデンティティ管理とアクセス管理
　　発見的統制
　　インフラストラクチャ保護
　　データ保護
　　インシデント対応
　6.3 セキュリティ設計のまとめ

第7章 障害の検知と復旧の考え方
　7.1 AWSの運用の原則を知る
　7.2 AWSのサービスを使った検知と復旧
　7.3 統合サービス Security Hubの位置づけ
　7.4 Security Hubと個別検知の使い分け
　7.5 監視と検知
　7.6 通知
　7.7 対応と復旧
　　AWSの自動復旧のパターン
　7.8 Security Hubの活用

第8章 まとめとマルチアカウント管理への道
　8.1 セキュリティ設計と運用
　8.2 Organizationsのサービスコントロールポリシー
　8.3 Security Hubの導入
　8.4 マルチアカウント管理への道
　8.5 まとめ

あとがき
　著者紹介
　既刊一覧