AWS SAAの資格取得に向けて学習を開始したので、これを機に学習した内容(つまずいたとこも含めて)を記していこうと思います。
そもそもDay1対応とは
AWSアカウントを作成した際、初日に対応すべきアカウントに関する設定。
大まかな対応は以下の通り
・アカウントへのログイン時の認証方法の追加
・ルートユーザ(はじめに作成したユーザ)の他に管理用のIAMユーザを作成
・AWS CloudTrail(のちに説明)の有効化
・AWSの請求に関するアラートの有効化(これは初心者の私にも大事だとわかる、、、、
金銭的に、、)
1.多要素認証を有効化する
多要素認証(MFAと呼ぶ)をAWSで追加する際は「認証アプリケーション」・「セキュリティキー」・「ハードウェアトークン」の三つが基本的に使用できる。今回の学習では認証アプリケーションであるGoogleAuthenticaterを使用した。
アプリ上でカメラを使用してQRコードを読み取り、MFAコードを入力することで認証可能となり、パスワード入力したのちにMFAコードを入力できる作業が増え、セキュリティが担保される仕組みである。
2.IAMユーザの設定
AWSサービスのリソースを安全に管理すための環境を擬似的に作り出すため、IAMユーザを設定する。
設定時、管理者がパスワード設定をしてしまうと管理者がユーザのパスワードを管理する事となりセキュリティ上安全とは言い難い部分があるので、ユーザの初回ログイン時にパスワードを変更させる必要もある。
IAMではユーザにポリシーと呼ばれるアクセス等の規則を割り付け(アタッチと表現する)することができる。
今回はadminとユーザを名付け、管理者権限を以下のように設定した。
また、AWSでは各IAMユーザに対してタグを割り振り可能で、タグによるユーザのグループ識別が可能である。(以下の通り)
作成したユーザ情報はは、メールやCSVファイルの形でユーザ使用者に対して共有することができる。
3.IAMユーザグループの設定
IAMユーザを作成することができたので、ユーザのグループ分けを行う。
***ここで一つ前の説で書き記したタグとの違いについて悩んだので自分なりの解釈を書いておきます***
| 名前 | 役割 |
|---|---|
| タグ | あくまでユーザの識別を行うためのグループ(所属部署など)。ポリシーをアタッチするわけではない。 |
| ユーザグループ | まとめてユーザへのポリシーをアタッチするためのグループ |
[ユーザグループの作成]より先ほど作成したadminユーザをグループの中に追加し、administratoraccessのポリシーをアタッチして、グループを作成した。
これにより、admin権限を持たせたグループの中に所属しているユーザには、一括でポリシーをアタッチすることができるようになるのでセキュリティ管理がしやすくなる。
4.CloudTrailの設定
AWSユーザの操作(APIコールやサインインに関するアクティビティなど)に関するログを取得できるようにするため、CloudTrailを設定する。
ログの情報をS3バケットに保存していく形なので、無料枠を利用している私には定期的にバケットを削除する必要が生じる、、、、(削除のタイミングは後述する請求アラートが配信されたタイミングとなる。)
証跡の名前を入力する程度の操作で証跡の作成が完了するクイック作成があるので便利である。
クイック作成でない証跡の作成では、どの動作の証跡を取得するか、既存/新規の証跡の保存先S3バケットの選択やログファイルのKMSによる暗号化等詳な部分を設定することができる。
また、CloudWatchLogsにより、溜め込んだ証跡を可視化して表示することも設定できる。
5.請求アラートの設定
瀬給される料金を超過させない(発生させない)ため請求アラートの設定を有効化させる。
アカウントの設定から無料利用枠に関するアラートの設定より、メールアドレスを入力して受信できるようにする。
IAMユーザでこの情報を編集したい場合はルートユーザで許可の設定が必要となる。
また、CloudWatchによるアラートも設定可能で、適宜メトリクス(アラートを取得したいサービス)を追加することによりアラートを設定することが可能。
以上、AWS使用開始時に設定すべきDay1対応でした.
初記事なので至らない点も多いですがこれからたくさん書いてスキルアップを目指します!!!