Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@takk_dev

AWSアカウントを作成後にすぐやるべきセキュリティ対策まとめ

Posted at

概要

以下の公式Hands-on(2020年作成)のまとめ記事です。
https://pages.awscloud.com/JAPAN-event-OE-Hands-on-for-Beginners-Security-1-2022-confirmation_556.html

若干UIが変わっていますが、Identity Center以外は基本的に変わらず実行できます。

セキュリティ対策としてやるべきことは以下の通りです。

  • IDアクセス管理
  • 請求データの確認とアラート
  • 操作履歴とリソース変更履歴の記録
  • 脅威検知

本記事の対象者

  • AWSのセキュリティ対策方法のキーワードを知りたい
  • セキュリティ対策のやり方を忘れたが、動画は検索性が低いので見たくない

反対に以下の方は対象外です。

  • セキュリティ対策を画面付きで確認したい
  • 高度なセキュリティ対策方法を知りたい

なお本記事はAWS初心者が執筆しているため、ツッコミどころがあったら指摘をいただけると幸いです。

IDアクセス管理

IDアクセス管理を行う上で重要なポイント

  1. ルートユーザの使用を極力早めにやめる
    ルートユーザは非常に強い権限を持つため、開発ユーザはもちろんのこと、管理者であっても基本的に使用するべきではありません。適切なIAMユーザを作成してIAMユーザからログインする。
    ルートユーザはルートユーザのみが扱えるタスクを実行するときだけ使うようにすること。
  2. MFAの有効化、ルートユーザのアクセスキーの削除及びIAMパスワードポリシーの適用
    ルートユーザのセキュリティレベルを上げるためにMFA(=多段階認証)を有効化します
    もちろんIAMでもMFAを実施したほうがよいです。
    アクセスキーはCLIやSDKで使うものであり、ルートユーザはGUIのアクセス以外できないようにします。
    これは2024年現在ではデフォルトで削除されています。
    IAMパスワードポリシーはパスワード規則をどうするか設定できます。自由に決めてください。
  3. IAMグループを作成し、ポリシーを適用する
    グループを作成してそこに各ユーザをアタッチします。
    ポリシーは権限を表し、各動作ごとに可能な権限を項目ごとの確認やJSON形式での確認が可能です。
  4. IAMユーザを作成してグループに追加
    3で作成したグループにアタッチすることで、IAMユーザに権限付与ができます。
    現在ではIdentity Centerでやるのがベストプラクティスらしいです。
    こちらの記事がIAMでの登録とIdentityCenterでの登録の比較になるので、興味をもったらぜひ確認してみてください。

IAMユーザを作成後はすぐに閉じず、アクセスキーIDとシークレットアクセスキーを取得してから閉じてください。

請求データの確認とアラート

重要なポイント

  1. AWS Budgetsを使って請求アラートを出す
    CostManagement->CostExplorerから予算の閾値や使用料を設定してアラートを飛ばすことが可能であり、予算レポートを定期的に作ることも可能です。
  2. データエクスポートからコスト使用状況レポートを設定できる
    AWS S3(AWSのストレージサービス)に請求レポートを保存可能であり、これ以降のデータはすべてS3に保存します。
    CostUsageReportについてはこの記事が参考になります。
    閾値を超えるとアラートを発し、メールで飛ばすことも可能です。
    時系列で確認でき、EC2やS3などサービスごとに、リージョンやインスタンスタイプなどでソートがかけれます。
    なお作成後レポートができるまでは24時間かかり、無料枠での利用であればコスト使用状況が見えないので、イメージがわかない場合は記事や動画を確認してください。

操作履歴とリソース変更の記録

重要なポイント

  1. AWS CloudTrailを利用して証跡を保存
    AWSアカウントのアクティビティのログを保存できる
    ユーザ名や時間、イベント名、IPアドレスなどを確認可能であり、JSONフォーマットでも内容を確認できる
    90日分しか保存できないため、S3に保存する証跡を作成する
  2. AWS Configの有効化でリソース変更履歴、構成情報を管理・監視可能
    1クリックで簡単に作成が可能です。
    AWSのリソースを細かく確認可能であり、作成日時やAZを確認可能です。
    また設定タイムラインとしても確認可能です。

脅威検知

重要なポイント

  • AmazonGuardDutyを有効化する
    機械学習を用いてDDoSや不正なAPI呼び出しを防いでいる。
    データソースとしてVPC Flow Logs,DNS Logs,AWS CloudTrailを利用している。
    無料期間が30日しかないので、試すだけなら作成しないほうがいいかもしれません。

終わりに

今後も学習した内容をアウトプットしていきますので、よければフォローをお願いします。
また現在SAPコンサルからWebエンジニアになることを目指して奮闘中です。
Webエンジニアを募集している企業がありましたらぜひお声がけください。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?