2019/08/24に追記
書いていたら結構長くなったのでリンクを貼っておきます。
その1
https://qiita.com/auf/items/9eb47a4fb5ba0f9f26fe
その2
https://qiita.com/auf/items/25b3f52ea74ff9f152c6
その3
https://qiita.com/auf/items/92c1e2b5f202a4894c71
その4
https://qiita.com/auf/items/c4309829e3385f69b1e4
その5
https://qiita.com/auf/items/e263c6d6ad4c4d7cd48d
前回決めたコンセプトに従って今日も考えます。
コンセプト
・お金かけてまでやりたくないので基本的に無料でAWSを勉強する
→ちょっとしたサービスを起動すると結構高額になりやすい。
・高いレベルのセキュリティ確保を目指す
→アカウントを不正に使われるととんでもない額を請求されるので防ぐ
今回はコンソールログインの検知を考えたいと思います。アカウントを持っていると何かのミスで乗っ取られる可能性もありますからねぇ。MFA設定しておけばほぼ大丈夫ですが、不意なログインを検知できるようにしてみたいと思います。
まずはCloudtrailを勉強
まず、ログインイベントをキャッチすることを考えます。パっと見てみるとCloudTrailのAPIアクティビティ履歴が良さそうです。が、ちょっとクラメソさんのページを見ると癖がありそうです。
https://dev.classmethod.jp/cloud/aws/cloudtrail-console-login-event/
AWSの操作にはグローバルイベントとローカルイベントがあって、コンソールのログインはローカルのようです。どういうことかというと、ローカルはリージョン固有、グローバルは全リージョン共通です。つまり、全リージョンのログインを検知できないと抜け道が沢山あることになってしまいます。
でも、もっと新しい記事ではデフォルト有効されているようです。
https://dev.classmethod.jp/cloud/aws/aws-cloudtrail-default-vs-custom/
確かに設定した覚えはないんですが、取得はされています。こんな感じ↓
イベントを見てみるとAWS リージョンがus-east-1になっています。
コンソールログインのリージョンを指定する
ということで
https://console.aws.amazon.com/console/home?ap-northeast-1#
のように東京リージョンを指定してみますが、なぜかcloudtrailにログイン履歴が出てきません。
いろいろ試すと結構反映には時間がかかるみたいですね。すぐにログにでてくるものではないみたいです。
まあ、それはそうとして、なぜかコンソールログインのリージョンがus-east-1のままです。
もう一度ログオフ、ログインを繰り返してURLを確認すると↓のようになっています。
なので、コンソールは東京リージョンを指定できているんですね。コンソールは東京リージョンでバージニアを選択しているようです。実際にバージニアになってますし。
ってことは、
の「AWSリージョン」がコンソールログインで変わってくる訳ではないみたいです。じゃぁここの値って何なんだろう。。。一旦わからないので、今日はここまで。