JAWS-UG情シス支部 第8回議論会に参加してきました。
そこで出た話題などを踏まえて、自分のまとめをしたいと思います。
※8回そのもののまとめではなく、踏まえた学びのお話し。
AWSアカウント
複数利用の是非
- 開発と本番で分離するか、サービスごと、パートナー先、部門毎etcと話題に出たけど絶対解は無さそう
- 全体的な傾向としては会社管理のアカウントは右肩上がりに増える傾向にはあった
アカウント権限の付与
- rootユーザーは使用しない。これはAWSの推奨事項。
- IAMユーザーの発行については、会社規模、AWSに関わる人数規模次第。
- 多数のAWSアカウントと権限発行が必要な場合はIAMユーザーでは運用が回らないので、Active Directoryなどの既存認証基盤で管理する
権限付与とログ監査
- 権限付与は最小限に絞らないと怖い。絞り切れないのなら、最低限Denyは設定する。CloudTrailは変更できないようにする
- CloudTrailのログ監査については実運用としては厳しい印象。
- 参考としては、先日のJAWS Daysの知らない間に使われていませんか? ~AWSの利用監査対策~が同様の話題。そこではSumoLogicを使用してWeeklyレポートの送付や、不審な操作はリアルタイムアラートをしているとの紹介。