サマリー
やること:AWSの初心者がIAMでルート権限の設定やユーザー作成、MFAの設定を行う記事です。
結果:一般的なAWSの原則に基づいたユーザー権限の初期設定が実際に行えるようになった。
(前置き)AWSではじめるインフラ構築入門とは?
翔泳社さんから出ているAWSでのインフラ構築初心者向けの本です。
この本のコンセプトは「初心者向けでありつつ本格的であること」
レベル感や想定読者は以下のような感じです。
①インフラやネットワークについて学んだことがある。
(基本情報の教科書に書いてある知識よりも少しあると良さそう)
②AWSソリューションアーキテクトの資格を持っている。
③AWSハンズオンは簡単なものしかやったことがない。
④Linuxコマンドを多少知っている(Lpic−1に満たない程度)
私は最近AWSの資格を勉強し始め、5月にクラウドプラクティショナー→ソリューションアーキテクト、6月に高度なネットワーキングを合格しました。
そんな中で、体系的なハンズオンを行った経験が少ないことに気がつきました。
このまま知識をつけるための勉強を続けることも考えました。
しかし知識>>実技のバランスが大きく崩れ頭でっかちになるのも避けたいのでこの本を通して実践力を少しでもつけようと考えたいうわけです。
というわけで私の学ぶ目的としては以下のような感じ。
①AWSはツールであり、ツールは実践によって使用する能力が向上する。
②次回受験するAWSSysOpsアドミニストレーターアソシエイトにハンズオンを行うLab形式の問題が出題されるので実践力を鍛えたい。
③AWSを扱えるアピールのため(社会人は資格取得以外にこういうアッピルもしないといけない!辛い!)
※記事作成はがんばりたくないのでなるべくがんばりません。
さあ、AWS学んでいきます。
なぜルートユーザーを日常的に使うべきではないか?
AWSアカウントを作成した時に最初に作られるユーザーをルートユーザーと言います。
AWSアカウントを作成したらまずはルートユーザーに適切な設定を必ず行いましょう。
ルートユーザーは「(自分の)AWS上のリソース全てにアクセス可能」という強力な権限を持っています。
設定を行う前に「なぜルートユーザーを使わない方がいいのか?」についても書いておきます。
(※ベストプラクティスなども参考にしましたが、推測も混じっていますので誤りがあればご指摘ください)
AWSのセキュリティの知識に関しましてはこちらの書籍が資格の取得的な意味でも非常に参考になります。
今回も参考にさせていただきました。
それは「ルートユーザーの日常的な使用→アカウントの共有に繋がる」からだと考えられます。
これの何が問題か?不便か?については以下のような感じです。
①この状態だと営業部が販売部のデータを見ることできるなどコンプライアンス上よくないです。。
②ルートユーザーのパスワード管理責任が曖昧になります。外部の人間にもルートユーザーのパスワードを教えるなんて怖すぎですね。
③リソース操作に対する責任が追跡できません(だって全部の操作はルートユーザーが行った記録だから)。
④そもそもルートユーザーは1人分の操作しか行えないのでかなり不便です。
など一般的なセキュリティの原則に反する状態+不便な状態になります。
以上のような理由から、AWSではルートユーザーはあくまで管理のために使い、各リソースの操作にはそれを行うための最小権限を付与しらユーザーを使用することが推奨されています。
ルートユーザーへの不正アクセスを防ぐための初期設定を行う
ルートユーザーへ行うべき設定は主に以下です。
(所属会社・部署によって変わる可能性があります。)
①アクセスキーの削除(初期設定では作成されませんが、何かの操作で作成されている場合は削除を推奨します)
②MFAを有効化
こちらの設定へはAWSのセキュリティ認証情報の欄からアクセス可能です。
MFAの仮想デバイスはOktaで設定いたしました。
IAMユーザーを作成する+権限割り当て
この辺は各自の裁量における設定が多いのと、全てを紹介してしまうと著者様にご迷惑がかかるため、結果を要約していきます。
①IAMのマネジメントコンソールからユーザーを作成。
(自動生成パスワード+AWSマネジメントコンソールへのアクセス)
今回はユーザーグループ未所属の、何にもアクセスできないアカウントを作成しました。
②グループを作成
任意のグループ名を決めて、ポリシーにPowerUserAccessとIAMFullAccessを追加します。
※これは今後の学習のための権限付与であり、最小権限の原則には反していると思います。必ずMFA認証を追加する。使わない時は権限を取り上げるなどしましょう。
③ユーザーを作成したグループにアタッチ
④パスワードポリシーをAmagasaki2022にできないようなパスワードポリシーに変更します。
⑤作成したユーザーのMFA認証を有効にする
ここまでで書籍の内容は終了になります。
企業などでは、アクセスコントロール専用のスタッフがいるくらい権限付与は重要なので基本的な動作をおさらいできたのは良かったです。
ついでにAWSセキュリティの専門知識の資格本を読むことで、深い理解につなげようと思います。
(※このシリーズは試験対策として非常におすすめです。)