AWSアカウントを作成、最初に設定する(主にセキュリティ強化)内容を備忘録としてまとめました。
rootアカウントを2段階認証設定
メールアドレス・パスワードだけログインできてしまうので、まず2段階認証の設定から。
IAM管理画面に移動。
「ルートアカウントの MFA を有効化」欄で「MFA の管理」をクリック。
※MFAとは
「仮想MFAデバイス」にチェック。
「次のステップ」ボタンをクリック。
「今後はこのダイアログボックスを表示しない。」にチェック。(注意書きはちゃんと読みましょう。)
「次のステップ」ボタンをクリック。
今回は 「Google Authenticator」というiPhoneアプリを使い、QRコードを読み込む。
- アプリに認証コードが表示されるので、「認証コード 1」に入力。
- 30秒待ち、次の認証コードが表示されたら、「認証コード 2」に入力。
「仮想MFAの有効化」をクリック。
完了をクリック。
こちらで、ルートアカウントの2段階認証が完了です。
IAMユーザーの作成
普段、ルートユーザーを使わないのが、鉄則。
管理用のIAMユーザーを作成し、ルートアカウント同様、2段階認証の設定をする。
※IAMとは
ユーザーの作成
「個々のIAMユーザの作成」で欄で「ユーザーの管理」をクリック。
「新規ユーザーの作成」をクリック。
ユーザーを追加。
「ユーザーごとにアクセスキーを生成」のチェックをはずして、「作成」をクリック。
ユーザーの2段階認証設定
作成したユーザーをクリック。
「認証情報」タブをクリック。「パスワードの管理」ボタンをクリック。
「カスタムパスワードの割り当て」を選択し、任意のパスワードを入力し、「適用」をクリック。
「MFA デバイスの管理」をクリック。
「仮想MFAデバイス」にチェックを入れ、「次のステップ」をクリック。
ルートアカウントの時と同様に 「Google Authenticator」アプリを使い、QRコードを読み込む。
- アプリに認証コードが表示されるので、「認証コード 1」に入力。
- 30秒待ち、次の認証コードが表示されたら、「認証コード 2」に入力。
完了をクリック。
これで、IAMユーザーを作成と2段階認証の設定が完了。
グループの作成
権限を設定したグループを作成し、ユーザーを追加する。
「グループを使用してアクセス許可を割り当て」の欄で「グループの管理」をクリック。
「新しいグループの作成」をクリック。
グループ名を入力し「次のステップ」をクリック。
「AdministratorAccess」にチェックを入れ、「次のステップ」をクリック。
入力した内容に間違いがなれば、「グループ作成」をクリック。
作成したグループをクリック。
「グループにユーザーを追加」をクリック。
作成したユーザーを選択し、「ユーザーの追加」をクリック。
IAM パスワードポリシーの適用
デフォルトでの設定では、かなり弱いので強力なパスワードの作成をする。
「IAM パスワードポリシーの適用」の欄で「パスワードポリシーの管理」をクリック。
任意でチェックを入れ、「パスワードポリシーの適用」をクリック。
※今回は、この項目だけですが、有効期間などの設定も有効だと思います。
IAM ユーザー用のアカウントパスワードポリシーの設定に関しては、こちら
セキュリティステータスを確認する
全部、グリーンになってます。ひとまず、安心ですかね。。
IAMユーザでログインする
上記リンクをコピーして、サインインする。
IAMユーザーの情報を入力し、「サインイン」をクリック。
MFA コードを入力し(2段階認証コード)、「送信」をクリック。
IAMユーザー名とアカウントが表示されていれば、無事ログインできてる。
おわりに
ひとまず、ある程度のセキュリティの設定は終わりました。
まだ弱い箇所などは随時、調べながら対応していきたいと思います。