やったこと
ひさびさにAWSアカウントを作成する機会があったので、行ったセキュリティ関係の設定についてまとめてみました。
rootアカウントのMFA設定
- 必須レベル
- ユーザーパスワードだけで全てのことが出来てしまうので、作ったらMFA設定して保管
IAMの請求アクセス有効化
- これをしないとIAMユーザーから請求情報にアクセスできない。
- AWSは細かい従量課金を伴うため、コスト管理にIAMユーザーのチェックがあった方がいい
- 不要なコストが発生していないかチェックが必要
課金アラートの設定
- いくら気を付けていても、ある程度の不用意な課金は発生するので、アラート設定は必要
CloudTrailの有効化
- API証跡は有効化しましょう。何かあったときには必須。
IAMユーザー・グループの作成
- AWSではユーザーの使いまわしはNG。
- 使いまわしは誰がどんな操作したかがわからなくなります。
- 今までユーザーを共有していた方もAWSではやめましょう。
- 退職したりした人でも操作できてしまうかもしれません。
- 適切な権限、最小の権限を付与すべき、全員同じグループやとりあえずAdministratorAccessは×
- アクセスキーは必要になったら作成。(デフォルト作成しない)
IAMユーザーのパスワードポリシー設定
- 文字数や英数混在、有効期間など
- 緩い設定をしてしまう人は必ずいます。ポリシーで制限しましょう。
IAMユーザーのMFA設定
- 所属組織次第かもしれませんが、通常AdministratorAccessなど上位の権限を持ったユーザーはMFAアクセス必須とすべきです。
- 個人的にはポリシーで縛るべきだと思う。
IPアドレス制限
- AWSマネジメントコンソールはインターネット上のサービスです。
- ということは自宅からでもアクセスできます。MFA設定してもVPN/専用線接続しても同じ。
- なのでIAMポリシーでIPアドレス制限が必要です。(CFなど一部サービスは使えないのでその場合AssumeRoleなど検討)
- 自分のグローバルIP以外からの操作を拒否するポリシーを持ったグループをユーザーに付与することを推奨。個別ポリシーでもOK。