AWSアカウントを取得してから行う初期設定

AWS Config や VPC Flow Logs といった標準で有効にしてても良さそうな機能が増えてきたのでメモ。
CloudFormationで一発で設定できたら最高なんですが、IAMのパスワードポリシーとかいじれない項目がいくつかあったはず。

監査ログ記録のためCloudTrailの有効化

• 必要に応じてアーカイブ用のS3バケットを作成する
• アラート設定はお好みで

参考：AWS管理コンソールの不正ログインをCloudTrail と CloudWatch Logsで検知する
参考：全リージョンのCloudTrailロギングを有効にするワンライナー

構成履歴記録のためAWS Configの有効化

• こちらもアラート設定はお好みで

参考：AWS ConfigでAWSリソースの変更管理をする
参考：[新サービス] AWS Configを触ってみた #reinvent

ログ保存用のS3バケットのローテート

• 必要に応じてCloudTrailやAWS Configのログに対してS3のLifecycleポリシーで定期的にログを削除 or Glacierへアーカイブする

参考：Amazon S3でオブジェクトの有効期限を設定できるようになりました

パスワードポリシーの変更

• 標準の状態だと強度の低いパスワードも設定可能なので任意でパスワードポリシーを設定する

参考：IAM ユーザー用のアカウントパスワードポリシーの設定

IAMアカウント・グループの作成

• ルートアカウントは何でも出来るので使わない
• 運用ルール（個人単位、部署単位、ベンダー単位、etc）に応じてIAMアカウントを発行する
• アカウント作成にあたり特に理由がなければAPIキーは発行しない

参考：【AWS】アカウント作成後の初期設定（IAMユーザーとグループ作成・Password Policy設定）

MFA（2段階認証）の設定

• 必要に応じて設定する
• ルートアカウントは特に推奨

参考：AWSアカウントのセキュリティを強化する 〜 MFAの利用
参考：AWSアカウント作ったらこれだけはやっとけ！IAMユーザーとAuthyを使ったMFAで2段階認証

ネットワーク設計を行い必要に応じてVPCを作成する

• 今後の拡張性を考慮（拠点間VPNやVPC Peeringによる他NWとの接続）
• そもそもVPCが必要か（EC2やRDSを必要とするシステムか）

参考：VPC とインターネットゲートウェイをセットアップする
参考：ELBをVPC内に設置する際のサブネット設計の注意点

VPC Flow Logsの設定

• パケット取得や調査の要件がある場合
• 現状特にデメリットも見当たらないので、何かあった時に備えてとりあえず有効にしておくのでも良さそう

参考：【新機能】VPC Flow LogsでVPC内のIPトラフィックを監視することができるようになりました!

番外編：EC2構築時にやること

IAM Roleの作成

• 特にAPIを使う予定がない場合でも、何もPermissionを設定しない状態でIAM Roleは作成しておくこと

参考：AWS EC2インスタンス用のIAMロール作成手順

EC2 Mailの上限緩和

• EC2からメール送る場合は上限緩和しておかないとすぐメールがスタックする
• ユーザ宛のメール送信はもとよりシステムのアラートメールなどを送る場合でも行うこと

参考：EC2インスタンスからメール送信のための準備