対象者
・AWSアカウント作成し、まず何をするか(特にセキュリティ的に)を確認したい人
・AWS初心者
参考にした情報が数年以上前のものであり、課金や記載情報自体が不正確の可能性があります。公式ホームページをご参照ください。
1. ユーザーの保護
ルートユーザーでMFA有効化
IAMを検索し、セキュリティステータスを確認
MFAの管理→有効化ボタンを押す
ルートユーザーでのアクセスキーの削除
現状普通にはアクセスキーは作成されない。
※利用されていないかを確認してから削除する。
IAMパスワードポリシーの適応
「アカウント設定」→「パスワードポリシー」→「設定する」
最強にすることができる
IAMユーザーを作成
Administrater権限だと強い権限。
グループを作成して、そのグループ内にユーザーを作成すると管理しやすい。
IAMユーザーでMFA有効化
ユーザー名を押す→「セキュリティ認証情報」→MFA
また、ルートユーザーで名前の部分を押す→アカウント→「IAM ユーザーおよびロールによる請求情報へのアクセス」→有効化 しておくとIAMユーザーで請求情報が確認できるようになる。
セキュリティステータスを確認して、やり残しがないか確認する。
2. アラート設定を行う
考えられることとしては不正にアクセスされて、不正に利用されること。
→この場合高額な請求が来ることになる。
→請求に対してアラートを設定することで異常に気づくことができる。
AWS Budgets を設定(★課金の可能性あり)
IAMユーザーで作業できる
Budgetsと検索→「予算を作成する」ボタンを押す
※Budgetsレポート(予算レポート)を作成すると、日毎などで予算のレポートで定期的にレポートを届かせることができる
AWS Cost Explorerを設定
「Cost Explorer」で検索→「有効化ボタン」を押す
AWS Cost & Usage Report を設定(★課金あり、レポートの保存でS3使用するため)
Cost Usage report で検索・・・
※Billingを見るとコストを確認できる
※Cost Explorerでより詳細に検索できる リージョンや日毎で確認できる
※「コストと使用状況レポート」の従来のページは非推奨になっている??
3. ログを取得できるようにする
CloudTrailを設定する(★課金。証跡保存でS3使用するため)
IAMユーザーで設定可能
「証跡の作成」を行う(証跡はS3に保存される)
AWS Configを設定(★課金)
aws config で検索→「始める」を押す
どのリソースにどのような変更が加わったのかを確認できる
4. 脅威を検出させる
Amazon GuardDutyを有効化する(★30日後課金)
「今すぐ始める」を押す。
5. 対策を確認する
Trusted Adviserを検索し、セキュリティで対策が必要なものがないかを確認する。
参考
AWSのハンズオン動画
https://pages.awscloud.com/JAPAN-event-OE-Hands-on-for-Beginners-Security-1-2022-reg-event.html?trk=aws_introduction_page
(動画ではバージニア北部で作業していた)