AWS入門用にEC2-ApacheでHP公開してからやったこと
記事の内容
初めてEC2を触ってみたので手順をまとめた
こちらの記事を参考にEC2でApacheを起動し簡単なページを表示した後にやったことをまとめた。
目的
セキュリティを強化する。
勉強用にいくつかのサービスを触ってみる。
背景
業務系アプリケーションエンジニアが私用で簡単なHPを公開する必要があった。
加えて近日中にCertified Cloud Practitioner 認定を受験する予定だが、似たような名前のサービスが多く覚えるのが大変だったため、勉強がてらAWSで環境構築することにした。
静的WEBサイトの公開だけならS3でもできるが、本業がwebアプリのSEなので、後学のためApacheで公開した。
- できるだけプラクティスに沿ったものの、あくまで勉強用ということで、そのまま本番環境で使う類のものではないことをご理解ください。
- 料金はよく確認してください。
やったこと
Apacheの設定
Apacheを産まれたままの姿で晒しておくと危険なので色々設定する。
「apache やっておいたほうが良い」などで検索して出てきた対策を実施する。
AWSに関係なく勉強になった。
EC2 セキュリティグループの設定
インバウンドルールの タイプ:SSH を0.0.0.0/0にしていたので自宅のIPに変更
IAM
ID と AWS のサービスおよびリソースへのアクセスを安全に管理する
AWS Identity and Access Management (IAM)
ルートユーザーの設定
ルートユーザーは極力使わずログインを困難にしておくといいらしい。
IAMを起動すると真っ先に表示されるダッシュボードにrootユーザーのログインに関するセキュリティのチェック結果が表示されている。
上の画像では設定後なのでグリーンになっているが赤くなっていたら指示に従い設定を進める。
HP管理用ユーザーの作成
HPの日常管理用のユーザーを作成する。
手順は
- グループ"hp-creators"を作成
- ポリシーをグループ"hp-creators"にアタッチ
- ユーザー"hp-creator"を作成してグループ"hp-creators"に追加
このスタイルがベストプラクティスらしい。ということで実施。
ポリシーは精査する余裕がなかったのでテンプレートから AmazonEC2FullAccess なるものを選んだ。本来であれば必要最小限の権限だけを与えるべきだ。
AWS Sheild
マネージド型の DDoS 保護
Standardは自動的に有効化されるとのこと(202208時点)。
Amazon Inspector
大規模な自動化された継続的な脆弱性管理
omg
AWS Trusted Advisor
コストを削減、パフォーマンスを向上、セキュリティを強化
Amazon CloudWatch
AWS とオンプレミスにおける AWS のリソースとアプリケーションのオブザーバビリティ
かっこいいグラフを見ることができる。
AWS Billing
毎月の AWS 請求書を簡単に理解する
ふ~ん
感想
セキュリティが強化されて少し安心できた。
一度触ったサービスのことはそうそう忘れないので勉強になった。