初めに
AWSアカウントを作成した後に最初に行うべきセキュリティ対策とその作業について解説します。AWSを利用する際、最初の設定をしっかり行うことで、不正アクセスのリスクを大幅に減らすことができます。
今回は、 rootユーザーのアクセスキーを(あれば)削除し、多要素認証(MFA)を設定します。
AWSアカウントの作成方法はこちらを参考にしてください↓
【AWS】AWS無料枠でアカウント作成する手順:初心者向け解説【クラウド】
用語の説明(アクセスキーとMFAについて)
まず今回の記事の主役であるアクセスキーとMFAについて説明します。
アクセスキーとは
AWSのサービスにプログラムやコマンドラインからアクセスするための鍵のようなものです。AWSアカウントのユーザがコマンドラインなどリモートでAWSサービスを利用する際の認証情報になります。
アクセスキーには次の2つの部分があります:
・アクセスキーID:ユーザー名のようなもの。(例: AKIAIOSFODNN7EXAMPLE)
・シークレットアクセスキー:パスワードのようなもの。(例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)
この2つを使って、AWSのリソースにアクセスし、操作を実行できます。
特に、最初にAWSで作成したアカウントはrootユーザと呼ばれる全操作が許可されたユーザで、ユーザアクセスキーでAWSリソースにアクセスするとすべての操作が可能です。
※アクセスキーはデフォルトでは作成されないので、今回アクセスキーを作成したことがない方は気にしなくて大丈夫ですが、このあと手順の方でアクセスキーの確認方法と、作成されたアクセスキーの削除方法を説明します。
詳しくはAWSのドキュメントへ↓
IAM ユーザーのアクセスキーの管理
多要素認証(MFA)とは
ログインする際に2つ以上の異なる認証要素を設定することです。これにより、不正アクセスのリスクが大幅に減少します。
AWSのMFAでは、通常はパスワードとスマートフォンアプリを使ったコードの入力を組み合わせます。
これにより、パスワードだけではなく、手元にあるデバイスを使って本人確認を行うため、セキュリティが大幅に向上します。仮にパスワードが漏洩しても、スマートフォンがなければログインできないため、アカウントを保護できます。
よく使われるMFAアプリには、MicrosoftのAuthenticatorや、GoogleのAuthenticatorがあります。
なぜこの作業が必要なのか
全操作権限のリスク
rootユーザーはAWSアカウント全体の操作権限を持っています。そのため、アクセスキーが漏洩した場合、第三者がリモートからすべての操作を実行できるリスクがあります。これは非常に大きなセキュリティリスクです。
コンソールログインの制限
そこで、rootユーザーのアクセスキーを削除することで、直接コンソールにログインすることでのみ使用できる運用にすることで、リモートからの不正アクセスを防ぎます。これにより、rootユーザーの使用を最小限に抑えることができます。
MFA(多要素認証)の設定
さらに、rootユーザーのコンソールログインにMFA(多要素認証)を設定することで、本人しかアクセスできないようにします。MFAはパスワードだけでなく、追加の認証要素(例えばスマートフォンのアプリ)を要求するため、セキュリティが大幅に向上します。
上記が今回の作業をする理由になります。
それでは、作業に移りましょう!
作業手順
まず初めに、MFAアプリを持っていない方は自身のスマホにインストールをお願いします。
今回はGoogleのAuthenticatorを使用しています。
アクセスキーの確認
1). AWSマネジメントコンソールにログインし、画面右上のアカウント名をクリックします。
2). 「セキュリティ認証情報」を押します。
3). 「アクセスキー」の項目を確認します。画像のように”アクセスキーなし”と表示されていればアクセスキーについては問題ありません。
アクセスキーの削除
1). アクセスキーがあるとこのように表示されます、アクセスキー左のボタンにチェックをいれると、「アクション」が濃い色に変わるはずです。
2). この後の作業でアクセスキーを入力する必要があるので、アクセスキーの値をコピーしていてください。「アクション」の”削除”を押します。
3). 「無効化」を押します。
アクセスキーを入力します。先ほどコピーしたものをペーストするとラクです。「削除」を押します。
4). 削除されていることを確認して、作業完了です。
MFA(多要素認証)の設定
1). AWSマネジメントコンソールにログインします(アクセスキーの確認作業からやっている方は先ほどの画面のままで大丈夫です)。画面右上のアカウント名をクリックします。
項目が
2). 「セキュリティ認証情報」を押します。
3). MFAを設定していない場合、このように「MFAが割り当てられていません」と注意が出ます。「MFAを割り当てる」を押します。
4). 以下項目を入力し、「次へ」を押します。
・デバイス名:のちほど登録するMFAアプリ内でこのアカウントを識別するための名前です。とりあえずは「アカウント名+root」とかでいいと思います。
・デバイスオプション:「認証アプリケーション」を選択します。
5). 「QRコードを表示」を押します。QRコードが表示されるはずです。
6). ここでスマホにインストールしたAuthenticatorアプリを開いてください。
右下の+マークをタッチしてください。
「QRコードをスキャン」をタッチします。QRコードをスキャンするためにカメラが起動するので、5)で表示させたQRコードを読み取ります。
するとこのようにコード番号が表示されるようになるはずです。このコードは60秒ごとに変わります。
7). QRコードを読み込んでコードが表示されるようになったら、画像のように「MFAコード1」にコードを入力し、コードが切り替わったらその値を「MFAコード2」に入力します。入力したら「MFAを追加」を押します。
8). MFAの追加が完了したら画像の様にMFAの項目に追加されているはずです。
これでMFAの追加作業は完了です。これ以降のこのAWSアカウントでのログインはパスワード入力に併せて、画像のようにコード入力が求められます。
終わりに
以上で、AWSアカウント作成後に行うべきセキュリティ対策についての説明を終わります。これらの手順を実行することで、AWS環境のセキュリティを強化し、安心して利用することができます。
この記事が参考になりましたらぜひ「いいね」「フォロー」など励みになるのでよろしくお願いします!