#はじめに
AWSのさまざまなサービスに触れています。是非コチラから他の記事もご覧ください。
随時更新中ですのでお探しの内容に関する記事がない場合はコメントいただければ優先して記事にしようと思っています。
また、投稿日が古い記事に関しては、現在のマネコンのUIと異なる場合がございます。
内容が異なる場合はコメントいただけると幸いです。
本記事は、アカウント作成後に行うべきセキュリティ対策についてまとめた記事になります。
##IDアクセス権管理
不必要な権限を付与していると、情報の流出や破壊、不正閲覧や改ざん、
不正使用、サービス事態の中断などが発生する可能性があります。
そのため、利用者へ与える権限は必要最小限に絞る必要があります。
IDアクセス権管理は、AWS IAM(AWS Identity and Access Management)という
サービスを利用して実装していきます。
IAMで出来ることや、特徴は以下の通りです。
・各AWSリソースに対して別々のアクセス権限をユーザごとに付与出来る
・多要素認証(MFA)によるセキュリティ強化
・一時的な認証トークンを用いた権限の委任
・他のIDプロバイダーで認証されたユーザに、AWSリソースへの一時的なアクセス権を付与
・AWS IAM自体の利用は無料
では、そろそろIAMの設定を行います。
とりあえず、コンソールにルートユーザでログインします。
###ルートユーザの多要素認証 と ルートアクセスキーの削除
サービス検索にIAMと入力すると一番上に表示されるので、
そちらをクリックしてください。
以下のように表示されているはずです。
デフォルトでは、MFAを追加するという項目と、アクティブなアクセスキーがありません。と
表示されているはずです。
アクセスキーがある方は削除することが推奨されていますので、
必要に応じて削除してください。
今回は、MFAの追加のみ行います。
先ほどの画像のMFAを追加をクリックします。
MFAの有効化をクリックします。
MFAデバイスの管理画面が出ますので、利用したい項目を選択します。
個人的には仮想MFAデバイスが一番楽なのでそちらにしています。
1、IPhoneもしくはAndroidなどで、互換性のあるアプリをインストールします。
私は、IPhoneなのでAuthenticatorをインストールしました。
2、QRコードの表示をクリックし、先ほどインストールしたアプリで読み込みます。
3、アプリに表示される番号を2回入力します。
入力後にMFAの割り当てをクリックすれば設定完了です。
###パスワードポリシー設定
ルートユーザは全ての権限を持っているため、
基本的には新しく作成したユーザで権限を絞ってを利用します。
そのため、新しく作成するユーザのパスワードポリシーを設定します。
何文字以上、英語と数字・記号を使ってください。的なやつです。
左ペインにある、アカウント設定をクリックします。
その後、パスワードポリシーを変更するをクリックします。
パスワードポリシーの変更内容は、みなさんにお任せします。
会社でルールなどがある場合はそちらに従えばいいかと思います。
パスワードポリシーが変更されていることが確認できました。
###IAMユーザの作成
ルートユーザ以外の特権ユーザを用意するために、IAMユーザを作っていきます。
・IAMユーザ
AWS操作ようのユーザ
・IAMグループ
IAMユーザをまとめるグループ
・IAMポリシー
AWSのサービス操作に対する権限設定、IAMユーザやIAMグループとうに対して付与
・IAMロール
AWSサービスやアプリ等のエンティティに対して、リソースの操作権限を付与する為の仕組み
IAMユーザを作成は、ルートユーザで作業を行います。
1. 事前定義されたIAMポリシーの確認
今回は、既存のポリシーを利用していきます。
サービス検索からIAMを開き、左ペインのポリシーをクリックします。
クリック後、検索欄にadministratorと入力してEnterを押します。
画像の下から2番目にAdministratorAccessというのがあると思いますが、
このポリシーが今回利用するものになります。
このポリシーは全てのサービスに対して全てのアクセスを許可するポリシーです。
もし仮に、保守専用のIAMユーザが作りたい場合は、
このポリシーではなく、特定のサービスの特定のポリシーを利用しましょう。
2. IAMグループの作成
左ペインから、個のユーザグループを選択し、グループの作成をクリックします。
グループ名(任意)は、admin-groupとしました。
ユーザはまだ作成していないので、グループには割り当てず、
ポリシーは先ほどのAdministratorAccessにチェックを入れて作成します。
作成できました。
3. IAMユーザの作成
左ペインから、ユーザを選択し、ユーザの作成をクリックします。
アカウント名は好きなものを入力してください。
AWSアクセスの種類ですが、以下は私の内容になります。
今回作成するユーザは自分用なので、パスワードはカスタムパスワードを選択しました。
別の方のユーザを作成する場合は、自動生成パスワードを選択しその内容を連携する。
別の方がログイン後に自分でパスワード変更を実施。という流れが良いかと思います。
次のステップへ進むと、グループ選択画面になります。
先ほど作成したグループに追加するので、チェックして次のステップへ。
タグの追加ですが、今回は特に設定せず次のステップへ。
内容の確認を行い、ユーザの作成をクリックします。
次の画面ですが、すぐに閉じてはいけません。
CLIなどでアクセスする際に必要なアクセスキーが表示されます。
閉じてしまったらこの画面はもう表示することができません。
.csvのダウンロードかアクセスキーIDとシークレットアクセスキーをメモしましょう。
admin-groupに所属したユーザが作成されています。
4. IAMユーザのMFA有効化
先ほど作成したユーザは、MFAが有効になっていないため、有効化を行います。
ユーザ名をクリックすると、以下の画面が表示されます。
認証情報のタブをクリックしMFAの割り当てを行います。
手順は先ほどと同じなので割愛します。
認証情報のタブを開いた時に、コンソールのサインインリンクという項目があるので、
そちらのURLをコピーしといてください。後ほど使います。
5. IAMユーザ / ロールによる請求情報へのアクセス
最後に請求情報のアクセスを有効にします。
コンソール右上のアカウントタブから、マイアカウントを開きます。
少し下にスライドすると以下の項目があるので、
チェックを入れて更新をクリックするだけでOKです。
では、最後の確認で、先ほどコピーしたURLを開きます。
アカウントIDに12桁の数字が入力されている画面に飛びます。
先ほど作成したユーザ名とパスワードを入力し、MFA認証後ログイン出来ることを確認します。
ログイン出来ることが確認できましたら、本記事の内容は終了になります。
正直ここまでのセキュリティ対策で十分かなとは思いますが、
ハンズオンの内容はまだあるので残りは申し込んで確認していただけると幸いです。
具体的には、以下のような項目があります。
・請求データの確認とアラート
勝手にサービスを利用されるなどと言った、セキュリティ侵害が発生した場合、
急に高額な請求が来たりする可能性があります。
この時に、一定の金額でアラートが発生するようにすれば、
高額な請求が来る前に気づき、対処することができます。
・操作履歴とリソース変更履歴の記録
自分以外のIAMユーザを登録した場合、
誰がどの操作をしたかを判別するために履歴を残すことも大切です。
操作履歴を残すことにより、何かトラブルが起きた際に、
どの操作が原因だったのかを特定することが容易になります。
・脅威検知
悪意のあるスキャンや、インスタンス・アカウントへの脅威を検知します。
検知することにより、それの対策を取ることが可能になります。
・ペストプラクティスの確認
Trusted Advisorというサービスを利用することにより、
AWS環境を自動監視、最適化するための推奨ベストプラクティスを提供してもらいます。
具体的には、コスト最適化やパフォーマンス、セキュリティなどです。
#さいごに
最後までご覧いただきありがとうございました!
他にも様々なサービスに触れています。是非コチラから他の記事もご覧ください。