AWSアカウントを取得してから行う初期設定
AWS Config や VPC Flow Logs といった標準で有効にしてても良さそうな機能が増えてきたのでメモ。
CloudFormationで一発で設定できたら最高なんですが、IAMのパスワードポリシーとかいじれない項目がいくつかあったはず。
監査ログ記録のためCloudTrailの有効化
- 必要に応じてアーカイブ用のS3バケットを作成する
- アラート設定はお好みで
参考:AWS管理コンソールの不正ログインをCloudTrail と CloudWatch Logsで検知する
参考:全リージョンのCloudTrailロギングを有効にするワンライナー
構成履歴記録のためAWS Configの有効化
- こちらもアラート設定はお好みで
参考:AWS ConfigでAWSリソースの変更管理をする
参考:[新サービス] AWS Configを触ってみた #reinvent
ログ保存用のS3バケットのローテート
- 必要に応じてCloudTrailやAWS Configのログに対してS3のLifecycleポリシーで定期的にログを削除 or Glacierへアーカイブする
パスワードポリシーの変更
- 標準の状態だと強度の低いパスワードも設定可能なので任意でパスワードポリシーを設定する
IAMアカウント・グループの作成
- ルートアカウントは何でも出来るので使わない
- 運用ルール(個人単位、部署単位、ベンダー単位、etc)に応じてIAMアカウントを発行する
- アカウント作成にあたり特に理由がなければAPIキーは発行しない
MFA(2段階認証)の設定
- 必要に応じて設定する
- ルートアカウントは特に推奨
参考:AWSアカウントのセキュリティを強化する 〜 MFAの利用
参考:AWSアカウント作ったらこれだけはやっとけ!IAMユーザーとAuthyを使ったMFAで2段階認証
ネットワーク設計を行い必要に応じてVPCを作成する
- 今後の拡張性を考慮(拠点間VPNやVPC Peeringによる他NWとの接続)
- そもそもVPCが必要か(EC2やRDSを必要とするシステムか)
参考:VPC とインターネットゲートウェイをセットアップする
参考:ELBをVPC内に設置する際のサブネット設計の注意点
VPC Flow Logsの設定
- パケット取得や調査の要件がある場合
- 現状特にデメリットも見当たらないので、何かあった時に備えてとりあえず有効にしておくのでも良さそう
番外編:EC2構築時にやること
IAM Roleの作成
- 特にAPIを使う予定がない場合でも、何もPermissionを設定しない状態でIAM Roleは作成しておくこと
EC2 Mailの上限緩和
- EC2からメール送る場合は上限緩和しておかないとすぐメールがスタックする
- ユーザ宛のメール送信はもとよりシステムのアラートメールなどを送る場合でも行うこと