【用語集】AWS関連用語【クラウドプラクティショナー(CLF)・セキュリティスペシャリスト(SCS)対応】

Table of Contents

A

Aurora【CLF】

Amazonがクラウドに合わせて設計したデータベース。オープンソースのため、通常ソフトの1/10程度の価格で、従来のMySQLと比較し最大5倍の処理能力が可能。常に自動でバックアップがなされる。

Amazon CloudFront【CLF】

CDNのマネージドサービス。エッジロケーションにコンテンツをキャッシュし、配信する。お客様側の近くにサーバーを配置するため、低レイテンシーで、ユーザーへの提供速度が速い。

Amazon Cloud Watch【CLF/SCS】

監視サービス。標準メトリクスで収集できるのは、「ネットワークIO」「CPU使用率」「ステータスチェック」など。カスタムメトリクスを利用すれば「メモリ使用率」や「ディスク空き容量」なども監視可能になる。AWSリソースとその上で実行するアプリケーションをモニタリングするサービス。

Amazon Cognito【CLF】

ウェブアプリケーションおよびモバイルアプリにユーザーのサインアップ機能とアクセスコントロール機能を追加できる。

Amazon EC2(Elastic Compute Cloud)【CLF】

1秒単位または1時間単位の従量課金で利用可能な仮想サーバー構築サービス。インスタンス単位で、サーバー環境が構築できる。接続するにはキーペアが必要。なお、「Elastic」は「ゴムのように弾力性・伸縮性がある」という意味であり、AWSのサービスは需要に応じてリソースを拡張・縮小できる能力を意識して作られている。AWSには少ない典型的なアンマネージド型サービス。

Amazon EC2 Auto Scaling【CLF】

ユーザーが定義した条件に応じてEC2インスタンスを増減する機能。①耐障害性の向上、②アプリケーションの可用性の向上、③コストの削減といったメリットがある。

Amazon EC2 インスタンスストア【CLF】

EC2インスタンスに物理的に接続されているストレージ。EBSとは異なり、後からアタッチして利用することはできない。

Amazon ECR(Elastic Container Registry)【CLF】

開発者がDockerコンテナイメージをAWSクラウドに保存・管理することができる。

Amazon EFS【CLF】

EC2から接続できるファイルストレージ。EC2が単一のEC2インスタンスにしかアタッチ出来ないのに対し、EFSは複数インスタンス間で共有することが出来るのが特徴。

Amazon ECS【CLF】

開発者がDockerコンテナイメージをAWSクラウドに保存・管理することができる。

Amazon ElastiCache【CLF】

インメモリキャッシュサービスの構築・管理及びスケーリングを用意に実施することができるサービス。キャッシュ自体をメモリに保存してやり取りをすることで、Webアプリケーションのレスポンスタイム向上に役立つ。コンテンツ配信のキャッシュ処理には利用されない。

Amazon ELB(Elastic Load Balancer)【CLF】

トラフィックの分散を管理するレギュレーターとして機能し、システム内の各EC2インスタンスが同じ量のトラフィックを取得するよう調整するAWSサービス。サーバーへの負荷集中を防ぐ。

Amazon EMR【CLF】

ビッグデータフレームワークとして、大量のデータを処理および分析するマネージド型クラスタープラットフォーム。

Amazon Macie【SCS】

機械学習とパターンマッチングを使用して機密データを検出し、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にするデータセキュリティサービス。

Amazon Managed Apache Cassandra Service(MCS)【CLF】

スケーラブルで可用性の高い、管理されたApache Cassandra互換のデータベースサービス。サーバーレスのため、使用したリソースに対してのみ料金が発生する。

Amazon Neptune【CLF】

グラフアプリケーションを作成できるサービス。

Amazon Network Load Balancer(NLB)【ELB】

ネットワークロードバランサー。レイヤー4(トランスポート層)で動作する。

AmazonRDS【CLF】

リレーショナル型のデータベース。データベースのインストールやバックアップなどのセットアップをしなくても、データベースが利用できる環境が提供されている。ロックが得意で、データの一貫性を保証する。MySQL、Oracle、SQL Server、PostgreSQL、MariaDB、Auroraなどのエンジンが選択できる。負荷分散のためのリードレプリカを作成できる。デフォルトで自動バックアップを提供している。

Amazon Redshift【CLF】

データウェアハウスと分析に利用できるマネージド型データベース。従来のデータウェアハウスの1/10のコストで利用できる。

Amazon S3(Amazon Simple Storage Service)【CLF】

容量無制限で高い耐久性を誇るオンラインストレージ(URLでアクセス可能)。AZを指定せずにリージョン内に直接自動的なレプリケートが出来る。(E2はAutoScalingの設定が必要だが、S3は何もしなくても自動設定される。)耐久性は、99.999999999%(イレブンナイン)であり、ほとんどのユーザーが利用している。S3にデータ保存すると、自動的に3か所以上のデータセンターに複製される。(ただし、リージョンをまたがることは無い。)また、ウェブスケールのコンピューティングを開発者が簡単に利用できるよう設計されている。AZを指定せずにリージョンに直接サービスが設置される。ユーザーの設定なしにスケーリングが自動で実施される。S3のストレージクラスは、「耐久性」と「可用性」によって評価・選択される。毎日もしくは頻繁にアクセスされるファイルは「Standard」クラスが推奨される。クライアントとサーバ両方の暗号化機能を持つ。VPCからVPCエンドポイントで接続することもできる。

Amazon S3 Glacier【CLF】

Amazon S3のオブジェクトストレージサービス。Glacierは「氷河」という意味であり、使用頻度の少ないファイルを長期保存するのに適している。障害に強い反面、S3にオブジェクトを入れてしまうとS3内ではファイルの内容変更といった操作が出来ないというデメリットがある。

Amazon S3 Transfer Acceleration【CLF】

Amazon CloudFront の世界中に分散したエッジロケーションを利用してユーザーに近いエッジロケーションを介したS3へのファイル転送を可能にするサービス。

ALB(Application Load Balancer)【CLF】

アプリケーションロードバランサー。レイヤー7(アプリケーション層)で動作する。

AMI(Amazon マシンイメージ)【CLF】

インスタンスの起動のために必要な情報が用意されている。EC2インスタンスのイメージを取得して、そのイメージから新しいインスタンスを作成する。

AWS Application Discovery Service【CLF】

オンプレミスデータセンターに関する情報を収集することにより、移行プロジェクト計画を支援する。

AWS Artifact【CLF】

AWSのコンプライアンスレポートにアクセスできる一元管理型のポータル。準拠する国の法律の変更もポータル上で可能。AWS Artifactで利用可能な契約には、事業提携契約(BAA)と機密保持契約(NDA)が含まれる。

AWS Budgets

予算の閾値を超えたときにアラートを出すサービス。アラートの閾値は200%など、100%を超えるものでも可能。

AWS Certificate Manager

SSL/TLS証明書(通信の暗号化とサイト事業者の安全性を証明してくれるもの)の取得、デプロイ、管理を簡素化できる。AWSが提供する公共のルートCA(認証局)を使用して一般的な仕様名所を発行するサービス。メリットは大きく4つ。①SSL/TLS証明書の有効期限を自動更新してくれる、②パブリック証明書とワイルドカード証明書を無料で発行できる、③コンソールからまとめて管理ができる、④ほかのAWSサービスと簡単に連携ができる

AWS CLI【SCS】

AWSのサービスをマネジメントコンソールからではなく、コマンドラインから操作・管理するためのオープンソースツール。メリットは以下の3点。①作業のスクリプト化（自動化）、②作業ミスの削減、③大量処理が得意

AWS CloudFormation【CLF】

インフラストラクチャをコードとして、AWSリソースの起動、設定、接続をするサービス。JSONまたはYAML形式のファイル(ソースコード)としてインフラを扱い、リポジトリで管理する。

AWS CodeDeploy【CLF】

ソフトウェアのデプロイを自動化するフルマネージド型のサービス。ライブラリなどのアプリケーションリソースをアプリケーションコードとともに保存できる。

AWS Config

AWS環境の設定変更履歴を記録・監視するサービス。AWSリソース間の設定に対する全体的なコンプライアンスを確認できる。

AWS Consolidated Billing【CLF】

1つのユーザーインターフェイスで複数のAWSアカウントの請求内容を表示、管理、および支払いをすることができる。利用中のすべてのAWSアカウントに適用されるボリューム割引を受けることができる。

AWS Cost Explorer【CLF】

AWSリソースの使用量を時系列で可視化し、コストや傾向を分析することができるツール。最大で過去13か月まで可能。現在のAWS料金を分析するのに役立つ。

AWS Customer Gateway

Site to Site VPNを構成する際に、オンプレミス側に置かれるルータのこと。

AWS Cost Anomaly Detection

AI（機械学習）が利用料のパターンを監視し、普段と違う動きがあったら即座に知らせてくれる機能。AWC Budgetsとは異なり、AIが異常な料金を検知し、知らせてくれるため、事故を未然に防げる。「請求とコスト管理」画面の異常検知で設定出来る。無料で使えるため絶対に導入したほうが良い。

AWS Direct Connect【CLF】

キャリアの専用線を利用して、AWSと他ネットワーク間に専用のプライベートネットワーク接続を確立するサービス。ハイブリッドアーキテクチャに向いている。

AWS DMS(Database Migration Service)【CLF】

データベースの機能に悪影響を与えずに移行できるサービス。移行中でもソースデータベースは完全に利用可能な状態に保たれる。

AWS Elastic Beanstalk【CLF】

アプリケーションの容量プロビジョニング、負荷分散、自動スケーリング、およびアプリケーションのモニタリングなどの機能を提供するサービス。AWSにアプリケーションをデプロイするための最も早くて簡単な方法。管理も自動化できる。

AWS Fargate【CLF】

EC2とEKSの両方で動作するコンテナ向けサーバレスコンピューティングエンジン。

AWS Game Day【CLF】

AWSの信頼性を高めるためのイベント。障害を起こす側と守る側に分かれて、本番環境でスコアを争う。障害を避ける最も良い方法は継続的に障害を起こすことという思想のもとにこのようなイベントが開かれている。Chaos Mokeyというランダムに障害を起こすソフトなどが使われる。

AWS IAM(Identify and Access Management)【CLF/SCS】

サービスやリソースへのアクセスを管理できるサービス。AWSアカウントに標準で付与されているサービスのため、追加料金などはかからない。ユーザー管理やロール管理などが可能。MFA(多要素認証)も多くサポートしている。

AWS KMS(Key Management Service)【CLF/SCS】

データの暗号化と署名に使用されるキーの作成と制御を用意にするAWSマネージドサービス。暗号化のためのサービスではなく、暗号キーを管理するサービスである点が注意。KMSでは、エンベロープ暗号化を使用している。これはデータを暗号化する鍵(データキー)とデータキーを暗号化する鍵(マスターキー)を利用する方式でセキュリティが強化される。

AWS Lamba【CLF】

AWSの代表的なサーバレスサービス。サーバなどのインフラ管理を意識せずにコードを実行できる。使用するコンピューティング時間のみを支払うため、動的システムに使われることが多く、24/365で利用されるような基幹系のシステムにはあまり向いていない。

AWS Network firewall

VPCとのインバウンド/アウトバウンド通信を一括して監視・制御できるマネージドサービス。VPCの入り口において、内部全体の保護を担うため、物理のFirewallに近い役割を担う。主な機能は3つ。①トラフィックフィルタリング。プロトコル、IPアドレス、ポートなどのフィルタリング。②保護機能の全体適用。AWS Organizationsを利用することで、一元管理する全てのVPCとAWSアカウントに対して設定を適用できる。③トラフィックの可視化。Cloud Watchのメトリクスを使うことでファイアウォールのアクティビティを可視化できる。

NATゲートウェイとIGWの間に置くのが一般的。また、サブネットはファイアウォール専用のサブネットを作るのが一般的。そのため、NATGWのルートテーブルをFWに向ける必要がある。

AWS NLB(Network Load Balancer)【CLF】

ネットワークロードバランサー。レイヤー4(トランスポート層)で動作する。

AWS OpsWorks【CLF】

ChefやPuppetのマネージド型インスタンスを利用できるようになる構成管理サービス。

AWS Organizations【SCS】

複数のAWSアカウントをまとめるサービス。メンバーアカウントを階層で管理するOU(組織単位)という機能と、アカウントに対してホワイトリスト/ブラックリストで権限の管理をするサービスコントロールポリシー(SCS)という機能がある。組織内の複数のAWSアカウントに対して、単一の支払い方法を設定できる。一括請求を使用することにより、サービス使用量を集約できたり、料金面での割引などの恩恵を受けることもできる。また、必要なAWSサービスへのアクセスのみを許可するといったことも可能。

AWS Personal Health Dashboard【CLF】

AWSサービスやアカウントに影響を与える可能性があるAWS Healthイベントについて確認できる。サービスの状態に変化があった際にはアラートを自動的に発行もできる。

AWS SDK【SCS】

プログラミング言語（Python, Java, JavaScriptなど）を使って、アプリケーションのコードの中からAWSのサービスを呼び出すためのライブラリ集のこと。AWS CLIが「人間（やシェルスクリプト）」がコマンドでAWSを操作する道具だとすれば、AWS SDKは「プログラム」がAWSを操作するための道具にあたる。PythonやGoなど主要なプログラミング言語のSDKはほぼ提供している。

AWS Security Hub【SCS】

AWSの環境全体のセキュリティとコンプライアンス状態を一元的に監視・管理するサービス。AWSアカウントのセキュリティデータと脅威インテリジェンスを集約し、重要な警告や脅威を優先順位をつけて表示する。

Amazon SES【CLF】

Eメール送受信機能を利用できるクラウドベースのサービス。

AWS SnowBall【CLF】

物理ストレージデバイスを使用して、Amazon Simple Storage Service (Amazon S3) とオンサイトのデータストレージロケーション間で、インターネットよりも高速にデータを転送する。ペタバイト規模に向いている。物理的なハードディスクがユーザに届き、そちらにデータを入れる。Snowball には、ジョブの作成、データの追跡、ジョブの完了までのステータスの追跡に使用できる強力なインターフェイスが用意されている。

AWS Snowmobile【CLF】

エクサバイト規模のデータ転送サービス。トラックでデータを運ぶ。アメリカのみで運用されているサービス。

AWS SMS(Server Migration Service)【CLF】

サーバーの移行を支援するサービス。

Amazon SNS(Simple Notification Service)【CLF】

AWS上でのイベント発生のタイミングで、様々な手段で通知を行うサービス。通知先として、SMS、SQS、Lambdaなどを選択できる。コンポーネント間のメッセージングをプッシュ方式で実施するサービス。AWS上でイベント通知やメッセージング処理/プッシュ通知をするといった場合はSNSを利用する。「パブリッシャー」と「サブスクライバー」の2種類のクライアントがある。パブリッシャーはメッセージを送信し、サブスクライバーはメッセージを受信する。引っ掛け問題で「SMS」という誤回答があるため注意。

AWS Shield【CLF/SCS】

DDoS攻撃から保護するサービス。スタンダード機能はAWSのサービスにデフォルトで組み込まれているため、追加料金などは不要。

パブリックIPアドレスはインターネットから接続するときに使うアドレス。プライベートIPアドレスはAWS内でそのサーバーに接続したいときに使うアドレス。

AWS STS(Security Token Service)【CLF/SCS】

AWSリソースに対して一時的な認証情報を提供する機能。

AWS Storage Gateway【CLF】

オンプレミスから実質無制限のクラウドストレージへのアクセスを提供するハイブリッドクラウドストレージサービス。

Amazon SQS【CLF】

AWS上でキューイング処理/タスク並列分散処理/ポーリング・Pull型の通知が出来るサービス。完全マネージド型のメッセージキューイングサービス。

AWS System Manager【CLF/SCS】

運用上のハブ。統合されたユーザーインターフェイスを備えており、AWS のアプリケーションとリソース全体の運用上の問題を一元的に追跡および解決できる。

AWS TCO Calculator【CLF】

AWSが提供する無料ツール。オンプレミスデータセンターとAWSそれぞれを利用した場合のコスト削減効果を見積もることができる。

AWS Transit GW

VPCやオンプレミスのネットワークのコアルーター。複数のVPCを構築して、オンプレミスのネットワークに接続する場合、VPCごとにSite-to-Site VPNを構築しなければならないが、Transit GWを使えば、オンプレ→Site to Site VPN→Transit GW→各VPCというようにTransit GWに集約して接続できる。

AWS Trusted Advisor【CLF】

AWS環境を分析して、最適化するための推奨ベストプラクティスを提供するサービス。①コスト最適化、②パフォーマンス、③セキュリティ、④フォールトトレランス(障害発生時に予備系統はあるか)、⑤サービスの制限の5つのカテゴリでチェックできる。

AWS VPN【CLF/SCS】

VPCと他ネットワーク間にプライベート接続(VPN)を確立するサービス。

AWS Well-Architected Framework(W-A)【CLF】

インフラ構築に役立つ5つの柱。AWSの公式サイトではホワイトペーパーが確認できる。
　(1) 運用
　(2) セキュリティ
　(3) 信頼性
　(4) パフォーマンス効率
　(5) コスト最適化

AWSでアーキテクチャ設計を検討する上で知っておくべき10(+1)のこと【CLF】

　(1) スケーラビリティ(拡張性)を確保する
　(2) 環境を自動化する
　(3) 使い捨て可能なリソースを使用する
　(4) コンポーネントを疎結合にする →コンポーネントの結合度を下げることで耐障害性を向上できる。
　(5) サーバーではなくサービスで設計する
　(6) 適切なデータベースソリューションを選択する
　(7) 単一障害点を排除する
　(8) コストを最適化する → なお、オンプレミスとの比較は、総所有コスト(TCO)で行う
　(9) キャッシュを使用する
　(10) すべてのレイヤーでセキュリティを確保する
　(11) 増加するデータの管理

AWSインフラストラクチャーイベント管理【CLF】

製品のローンチ、移行といった予定イベントの準備や実行時に、アーキテクチャとスケーリングのガイダンスと運用サポートを提供するサービス。エンタープライズプランでは追加料金無しで利用可能で、ビジネスプランでは追加料金を支払うことで利用可能。開発者プランには含まれない。

AWSクイックスタート【CLF】

セキュリティと高可用性に関するAWSのベストプラクティスに基づいて、AWSに一般的なテクノロジーをデプロイするのに役立つ。これにより本番環境を数分で構築して、すぐにAWSの利用ができるようになる。

AWSコンサルティングパートナー【CLF】

AWSの設計や導入を支援するパートナー企業のこと。SIやコンサルティング会社など。

AWSプロフェッショナルサービス【CLF】

AWSを使って期待するビジネス上の成果を達成するためのサポート。

AWSマネージドキー

AWSが作成・管理しているキー。S3やEBSの暗号化を有効化したときに自動的に作成されるキー。ユーザーはこのキーの削除やキーポリシーの変更といった操作はできない。暗号化や復号化の操作はすべてCloudTrailで監査可能。

AWS マネジメントコンソール【SCS】

Webブラウザを使って、AWSのすべてのサービスを管理・操作するためのグラフィカルな管理画面（GUI）のこと。全体像の把握やグラフなど直感的に把握するのにメリットがある。一方で繰り返しの作業などは苦手なため、CLIで行うケースが多い。

AWS 料金計算ツール【CLF】

AWSのサービスを調べたり、AWSのユースケースのコストを見積もれたりすることが出来る。ソリューションを構築する前に必要なインスタンスタイプや契約条件を見つけられるため、計画を立てる際に利用する。

AZ(アベイラビリティゾーン)【CLF】

1つのAWSリージョンでそれぞれ切り離され、冗長的な電力源、ネットワーク、そして接続機能を備えている低遅延で相互接続された1つ以上のデータセンターのこと。なお、場所の公開はされていない。東京リージョンには関東近郊に4つのAZがあると言われている。

C

Cloud Trail【CLF/SCS】

AWSアカウント内で行われた「すべての操作履歴」を記録し続けるサービス。主に、①誰が、②いつ、③何をしたかの3つが記録される。トラブルシューティングやセキュリティ監査で使われる。Cloud Watchがシステムの監視なのに対し、Cloud Trailは人の監視である。過去90日の操作ログであれば無料で見ることができる。基本的にはAWS内部のログを収集するサービスであり、AWS外部のログは取得出来ないため注意。

【Cloud TrailとCloudWatch logsを統合するメリット(ガードレールへの設定推奨)】
①特定の危険な操作を即座に通知できる
②コンソールでの検索・調査が楽になる
③自動修復・防御のトリガーになる

CMK(Customer Master Key)

以下の違いを明確に区別できるようにしてください。試験では要件（コスト重視 vs 管理権限重視）に合わせてこれらを選択させられます。

AWS 所有のキー (AWS Owned Keys): S3などでデフォルトで使われる。ユーザーは管理・監査できない。
AWS 管理のキー (AWS Managed Keys): サービスごとに作られる（例: aws/s3）。ローテーションは1年ごと自動。ユーザーは削除できない。
カスタマー管理のキー (Customer Managed Keys): ユーザーが作成・管理。ローテーションは1年ごと（設定でオンにする必要あり）。削除やポリシー変更が可能。

CSPM(Cloud Security Posture Management)

設定ミスやセキュリティホールを自動で検出してくれるツール。AWSでは以下の3サービスが該当する。
　①AWS Security Hub：設定不備を検出してくれるメインツール。AWSセキュリティのベストプラクティスやCISベンチマークに照らし合わせて、アカウント全体をスキャンしてくれる。
　②AWS Config：Security Hubの裏で動いている検出エンジン。リソースの設定変更を検知した瞬間に特定のルールで評価する。
　③AWS Trusted Advisor：セキュリティだけでなく、コスト、パフォーマンスなど幅広い視点でチェックしてくれる。設定不要でダッシュボードを見るだけですぐに使える。

D

Dedicated Host【CLF】

専有ホスト。ホスト自体を一つのAWSアカウントで専有できるサービス。

DynamoDB【CLF】

AWSが独自に開発した完全マネージド型のNoSQL データベースサービス。JSON形式のデータを保存・処理するドキュメント型データサービス。高速で予測可能なパフォーマンスとシームレスな拡張性が特長。キーとバリュー(値)という単純な構造で作られている。

E

Amazon EBS(Elastic Block Store)【CLF】

スループットとトランザクションが集中するどんな規模のシステムにも対応できる永続的なブロックレベルのストレージ。外付けストレージのイメージ(後からアタッチできる)。多くのユーザーは、EC2と合わせてEBSを利用する。スナップショット機能で差分バックアップをとれる。暗号化も可能。容量は最大16TB、64,000IOPSまで性能を拡張できる。

【EBSボリューム暗号化による範囲】
EBSボリュームを暗号化することで、以下のすべての場面でデータが保護される。
①保存データ：EBSボリューム内部にあるデータ
②通信データ：EC2インスタンス⇔EBSボリューム間のデータ転送
③スナップショット：そのボリュームから作成されるバックアップ
④そこから作られるボリューム：スナップショットから復元したボリューム

EC2

G

AWS GuardDuty【CLF/SCS】

AWS GuardDutyは、AWS環境内の脅威を見つけるためのサービスです。
このサービスはマネージド型で、AWSアカウントやインフラ全体を24時間365日監視し、怪しい活動や脅威をリアルタイムで検出します。機械学習や異常検知、最新の脅威情報を活用して、セキュリティインシデントを早く見つけるのに役立ちます。

1.脅威の検出
不正なAPI呼び出しや怪しいネットワークの動きを自動で見つけます。
マルウェアの通信や異常なログイン試行など、さまざまな脅威を特定します。

2.継続的な監視
AWSアカウント全体を常に監視し、リアルタイムで脅威を検出します。

3.最新の脅威情報
AWSや他の情報源から得た最新の脅威情報を使って、より正確に脅威を識別します。

4.簡単な設定と管理
数クリックでGuardDutyを有効にでき、複雑な設定は不要です。
他のAWSサービス（例えば、AWS Security HubやAmazon CloudWatch）と連携できます。

【GuardDutyが検知できる範囲】
〇 AWSインフラ：Cloud Trailで見ているため
〇ネットワーク：VPCフローログで見ているため
×アプリへの攻撃：GuardDutyはアプリの中身までは見ないため。WAFの領域。
×アプリ内の操作：GuardDutyはアプリの中身までは見ないため。CloudWatch Logsの分析が必要。

I

IAM Identity center

複数アカウントのSSOなどを実現するサービス。

IAM ポリシー【CLF/SCS】

AWSにおける「誰が、何を、どうしてよいか」という許可証（ルールブック）のこと。

・Effect：AllowかDenyか。AWSは基本的には拒否ポリシーが適用されているため、許可することをAllow設定する。

・Principal：誰にそのルールを適用するか。書かない場合はそのIAMユーザー本人に適用される。

・Action：具体的に何をする操作か。「サービス名：操作名」の形式で書かれる。（例：S3:ListBucket S3バケットの中身を見る)

・Resource：どのAWSリソースに対して行うかを指定する。ARN（Amazon Resource Name）というAWS上の住所のようなIDで指定する。

・Condition(オプション)：どんな条件ならOKまたはNGかを指定する。IPアドレス制限、時間制限、MFA利用時のみ許可など。

IAMユーザー【CLF/SCS】

IAMポリシーで許可された操作のみ可能なユーザー。グループ化することで組織に合わせてポリシー管理を楽にできる。IAMのアクセスキーIDとシークレットアクセスキーはIAMユーザーに紐づけられる。

IAMロール【CLF/SCS】

AWSリソースにAWSサービスへのアクセスを提供できる。ホテルのキー(一時的に使える鍵)のようなイメージ。

V

Amazon VPC(Virtual Private Cloud)【CLF/SCS】

論理的に分離された仮想ネットワークで、AWS内にユーザ専用のネットワーク空間を提供するサービス。AZをまたがって、一つのネットワーク空間が作られる。独自の IP アドレスの範囲の選択、サブネットの作成、ルートテーブルやネットワークゲートウェイの設定など、仮想ネットワーク環境を完全に制御できる。仮想プライベートクラウド内のほとんどのリソースに IPv4 と IPv6 の両方を使用できるため、リソースとアプリケーションへの安全で簡単なアクセスが保証される。AWS内に仮想ネットワークを構築するサービス。VPCフローログはデフォルトではOFFになっているため注意。

W

AWS WAF(ウェブアプリケーションファイアウォール)【CLF/SCS】

可用性、セキュリティ侵害、リソースの過剰消費に影響を与えるような、ウェブの脆弱性を利用した一般的な攻撃やボットから、ウェブアプリケーションまたは API を保護するウェブアプリケーションファイアウォール。

【WAFをなぜ導入したほうが良いのか】
セキュリティグループでIPやポートの制御は出来ますが、通信の中身まではチェック出来ない。WAFは通信の中身も検知することができるため、SQLインジェクションやクロスサイトスクリプティングなどの攻撃をブロックすることが出来る。社員アクセスのみだとしても、マルウェア感染対策や内部不正の防止のため、導入することが望ましい。唯一導入しなくてもよいケースは、以下の3条件がすべて揃っている場合のみである。①単にHTMLを表示するだけの静的サイトである、②入力フォームがない、③機密情報がない。

あ行

アイデンティティベース【SCS】

ユーザーが持っている権限。「私が」何をしていいかを決める。EC2などすべてのリソースに適用できる。基本はアイデンティティベースを利用するが、特定のリソースにルールを決めたいときなどはリソースベースが使われる。

アクセスキー【CLF/SCS】

AWSサービスへのプログラム呼び出しを認証するために使用される。

アグリゲーターアカウント

組織内の全AWSアカウントのセキュリティ状態や設定情報を、一箇所にかき集めて保存・閲覧する役割を持つアカウント。

エッジロケーション【CLF】

リージョンやAZとは異なるデータセンター。近くにあったほうがパフォーマンスが上がるサービスはエッジロケーションで提供される。DNSやCDNが代表的なサービス。

エンタープライズサポート【CLF】

企業向けのサポートサービス。24時間365日のサポートを受けられる。また、ケースをオープンに出来るユーザー数に制限がないことも特徴。

オンデマンドインスタンス【CLF】

長期契約なしで、コンピューティング性能に対して秒単位で支払う。

か行

カスタマーマネージドキー

ユーザーが自分で作成・管理するキー。細かいアクセス制御が可能。

キーペア

サーバに入るための鍵。AWSはパスワードではなく、キーペアでログインする。キーペアは1回しかダウンロード出来ないため、無くしたら二度と入れなくなる点に注意。キーペアは、以下の2つの鍵がセットになっています。
1.パブリックキー（南京錠）
AWSが自動的に作成し、EC2（サーバー）のドアに取り付けます。

2.プライベートキー（手持ちの鍵）
あなたがダウンロードして、PCの中に持っておくファイルです。

さ行

サーバレス【CLF】

サーバを意識することなく、サービスを受けられるという概念。実際にサーバが無いわけではなく、ユーザー側として意識しないという意味。代表的なAWSのサービスは、「AWS Lambda」である。

責任共有モデル【CLF】

AWSとユーザーの責任分解を明確に表したもの。基本的にインフラ部分はAWSで責任を持ち、データやユーザ管理などはユーザー側で責任を持つ。
　(1) ユーザーの責任範囲：データ、プラットフォーム、アプリケーション、OS(パッチ適用含む)、NW構成、暗号化など
　(2) AWSの責任範囲：ソフト、ストレージ、ハードウェア、データベースなど