プログラミング勉強日記
2021年4月8日
AWSアカウントを作ったら最初にやるべきこと
AWSアカウントを作ったらまず最初に、認証上のセキュリティを高める必要がある。そのためにこれから紹介する4つのことを行う必要がある。
1. 多要素認証(MFA)を有効化する
MFAは、メールアドレス(ログインID)とパスワードの認証に加えてもう1つの認証を組み合わせてログインすることをいう。もう1つの認証方法は、ユーザのスマートフォンからのコードや秘密の質問の答え、指紋・顔認証などである。
MFAはセキュリティ強化を実現する有効な方法であり、MFAを有効化するべきである。
私の場合はiPhoneにGoogle Authenticatorをインストールして認証を行った。
こちらの記事に詳しく書いてあるので、やり方を知りたい人はぜひ見てください。
2. 管理者用のIAMユーザーを作成する
最初にクレジットカード情報が登録されているメールアドレスでログインするユーザーはルートユーザー(ルートアカウント)である。そのルートユーザーとは別に操作用のIAMユーザー(読み方:「アイアムユーザー」)を追加することができる。AWSの基本操作はIAMユーザーで利用することが求められる。組織的にAWSを使うのであれば、IAMユーザーを使うのが基本。
ルートユーザであってもAdminstratorAccess権限を付与することはできる。また、AdminstratorAccess権限のないユーザーであっても、権限のあるグループに所属すればそのIAMユーザーにも権限がつく。
3. AWS CloudTrailを有効化する
CloudTrailによってユーザーのアクセスログを取得・監視すること、APIコールやユーザーのサインアクティビティを記録することができる。
ルートアカウントとIAMユーザーのサインアクティビティとAPIコールをトラッキングしてログを取得することができる。また、CloudTrailログファイルは暗号化されていてS3に保存される。KMSによる暗号化もサポートされていて、デフォルトでは90日間ログが保存される。これらのサービスが基本的には無料で使用できる。
4. AWSの請求アラートを有効化する
請求アラートを設定することで、利用額が一定額を超過した場合に通知が来るようにできる。