AWSセキュリティの第0歩
ユーザー名/パスワード/アクセスキー。これらは漏洩した時のリスクが大きく、AWSを使い始める時にまずなによりも対策しておくべきです。セキュリティの第1歩というより第0歩として「AWSセキュリティの第0歩 確認チェックシート」を作ってみました。ユーザー名/パスワード/アクセスキー に絞ってるため、これをやったから完璧になる訳ではないです。そもそもセキュリティに完璧はないです。
チェックした後、始めやすいところからでもいいので是非実施してください。
(ベストエフォートで時々更新していきます)
注意事項
- ユーザー名/パスワード/アクセスキーに絞った対策
- このチェックシートをやればセキュリティ完璧になるわけではない
- セキュリティは幅広く様々な対策が必要ですが、このチェックはそのスタートラインに立つ前にやっておくこと
- "実施方法参考リンク"は外部リンクに飛ぶ形にしてます。自己責任で実施ください。
- 個人的にやっとくといいと思うものをピックアップ
- Trusted Adviserからユーザー名/パスワード/アクセスキーに関わるものをピックアップ(他の項目と重複ありますが、機械的なチェックになるのでピックアップ)
- 実施難易度が低いものをピックアップ(アクセスキーローテーションなど、中には慎重に行わなければならないものもあり)
チェックシート
AWSアカウント保護ベーシックチェック
Trusted Advisorのアカウント保護に関わる項目
※推奨アクションはTrusted Advisorに記載
|
Trusted Adviser |
実施済 |
実施予定/検討中 |
実施しない |
サービス |
1 |
IAM の使用 (無料) |
□ |
□ |
□ |
IAM |
2 |
ルートアカウントの MFA (無料) |
□ |
□ |
□ |
IAM |
3 |
露出したアクセスキー |
□ |
□ |
□ |
IAM |
4 |
IAM パスワードポリシー |
□ |
□ |
□ |
IAM |
5 |
IAM アクセスキーローテーション |
□ |
□ |
□ |
IAM |
|
Trusted Adviser Option |
実施済 |
実施予定/検討中 |
実施しない |
サービス |
実施方法参考リンク |
1 |
CloudWatch 通知設定する |
□ |
□ |
□ |
CloudWatch |
通知設定 |
2 |
開発チームに Trusted Adviser を認知してもらう |
□ |
□ |
□ |
Trusted Advisor |
Trusted Advisorとは |
関連するAWSサービス
|
GuardDuty |
実施済 |
実施予定/検討中 |
実施しない |
サービス |
実施方法参考リンク |
1 |
GuardDuty のキャッチアップする |
□ |
□ |
□ |
GuardDuty |
GuardDutyとは |
2 |
GuardDuty の操作を把握する |
□ |
□ |
□ |
GuardDuty |
GuardDuty の操作を把握する |
3 |
通知設定する |
□ |
□ |
□ |
CloudWatch |
通知設定 |
|
CloudTrail |
実施済 |
実施予定/検討中 |
実施しない |
サービス |
実施方法参考リンク |
1 |
CloudTrail のキャッチアップする |
□ |
□ |
□ |
CloudTrail |
CloudTrailとは |
2 |
CloudTrail の操作を把握する |
□ |
□ |
□ |
CloudTrail |
様々な操作 |
3 |
(オプション)通知設定する |
□ |
□ |
□ |
CloudWatch |
通知設定 |
|
通知 |
実施済 |
実施予定/検討中 |
実施しない |
サービス |
実施方法参考リンク |
1 |
アラーム設定方法を把握する |
□ |
□ |
□ |
CloudWatch |
CloudWatchアラーム設定 |
参照リンク
Trusted Advisorのチェック項目
AWSアクセスキー管理のベストプラクティス
GuardDuty Blackbelt資料
CloudTrail Blackbelt資料