はじめに
今回は↑のハンズオンの内容を中心に、AWSアカウント作成後にやるべきことをまとめていきます。
IDアクセス権管理
ルートユーザーはすべてのAWSサービスとリソースに対して完全なアクセス権を持っており、非常に強力な権限があるため日常的な作業にはルートユーザーを使わずにIAMユーザー(IAMポリシー権限で許可された操作のみ可能なユーザー)を使うことをAWSでは推奨しています。
まずはIAM(Identity and Access Managemen)関連の用語を整理しておきます。
- IAMグループ:IAMユーザーをまとめるグループ
- IAMユーザー:AWS操作用のユーザー
- IAMポリシー:AWSのサービス操作に対する権限設定、IAMユーザーやIAMグループ等に対して付与します
- IAMロール:AWSサービスやアプリケーション等のエンティティに対してAWSリシーすの操作権限を付与するための仕組み
ここからはルートユーザーでAWSマネジメントコンソールにサインインして、以下の作業を行っていきます。
ルートユーザーの多要素認証(MFA)の有効化
多要素認証(MFA)を有効化し、セキュリティを強化します。
-
セキュリティ認証情報 の画面を開き、多要素認証(MFA)の項目から「MFAデバイスの割り当て」ボタンを押します。
-
MFAデバイスを選択の画面が表示されます。ここではMFAを行うデバイスの設定を行います。例えば、モバイルデバイスで行う場合にはデバイス名を「iPhone」のように入力して、「Authenticator app」を選択して「次へ」ボタンを押します
-
デバイスの設定の画面が表示されます。モバイルデバイスに指定されたアプリをインストールします。私はGoogle Authenticatorを使っていますので、モバイルデバイスにインストールされているGoogle Authenticatorを開きます。AWSコンソールからQRコードを表示して、Google AuthenticatorでQRコードをスキャンすると、Google AuthenticatorにAWSのコードが表示されますので、MFAコード1の入力欄に入力します。時間が経過するとGoogle Authenticatorには次のコードが表示されますのでMFAコード2の入力欄に入力して、「MFAを追加」ボタンを押します。
-
以上でルートユーザーの多要素認証(MFA)の有効化は完了です。
IAMパスワードポリシーの適用
セキュリティを強固にするために、パスワードポリシーを設定します。
-
アカウント設定 の画面を開き、パスワードポリシーの項目にある「編集」ボタンを押します。
-
パスワードポリシーの編集画面で「カスタム」を選択し、パスワードの最小文字数、パスワードの強度、その他の要件を設定していきます。↓のサンプル画像では適当に設定していますがご自身や会社のルールに則った設定を行ってください。
IAMグループの作成
このあと管理用のIAMユーザーを作成していくにあたり、管理用のユーザーを束ねるIAMグループを作成していきます。
-
ユーザーグループ の画面を開き、「グループを作成」のボタンを押します。
-
グループに名前を付けるの項目のユーザーグループ名の入力欄に任意の名前を入力します。ここでは管理者グループとして用意するため私は「admin-group」としました。
IAMユーザーの作成
管理用のIAMユーザーを作成します。
-
ユーザー の画面を開き、「ユーザーの作成」ボタンを押します。
-
ユーザーの詳細を指定する画面が表示されます。ユーザー名入力欄には任意のユーザー名を入力します。
-
「AWSマネジメントコンソールへのユーザーアクセスを提供する」のチェックは、IAMユーザーを作成したあとで設定を行うため、ここではチェックをつけずに「次へ」ボタンを押します。
-
許可を設定の画面が表示されます。許可のオプションの項目では「ユーザーをグループに追加」を選択し、ユーザーグループの項目で、さきほど作成したIAMグループを選択して、「次へ」ボタンを押します。
-
確認して作成の画面が表示されます。設定に誤りがないようであれば「ユーザーの作成」ボタンを押すと、IAMユーザーが作成されます。
IAMユーザーのMFA有効化
IAMユーザーに対してもMFAを有効化し、セキュリティを強化します。
-
ユーザー の画面が開き、ユーザーの項目から作成したユーザーのリンクを開き、ユーザー情報の画面を開きます。
-
コンソールアクセスを管理のダイアログが開きます。コンソールを通じたアクセスを有効化し、パスワードを設定します。パスワードはご自身の使用状況に合わせて設定し、「適用」ボタンで設定を適用します。
-
同じくセキュリティ認証情報のタブから多要素認証(MFA)の項目で「MFAデバイスの割り当て」ボタンを押します。以降の設定については、「ルートユーザーの多要素認証(MFA)の有効化」での作業と同様になります。
-
ここまでの設定で作成したIAMユーザーでAWSコンソールにサインインすることができますので試してみます。セキュリティ認証情報のタブが表示されていると思いますので、コンソールサインインの項目にあるコンソールサインインリンクをクリップボードにコピーします。まずはルートユーザーをサインアウトして、ブラウザのURLにクリップボードにコピーしていたリンクをペーストして開きます。IAMユーザーとしてサインインの画面が表示され、アカウントIDが入力された状態になっていると思いますので、作成したIAMユーザーのユーザー名とパスワードを入力してサインインします。
IAMユーザー/ロールによる請求情報へのアクセス
IAMユーザーでも請求情報にアクセスできるようにします。
-
アカウント の下部にあるIAM ユーザーおよびロールによる請求情報へのアクセスの項目で「編集ボタン」を押す。
アカウントエイリアスの設定
ハンズオンにはありませんが、IAMユーザーでサインインする際に必要となるAWSアカウントID(12桁の数字)を記憶するのは困難なため、覚えやすいエイリアス文字列を設定することで、アカウントIDの代わりにアカウントエイリアスを使用することができます。
-
IAMの画面を開き、右上部のアカウントエイリアス項目の作成リンクより、覚えやすいエイリアス名を設定する。
請求データの確認とアラート
サービスを不正に利用されると高額な請求が発生することがあります。また、自身での利用であっても予期しないことで利用料金が高くなってしまうこともあります。そのため、予算を設定して予算の超過を把握できるようにしておきます。
ここからはIAMユーザーでAWSマネジメントコンソールにサインインして、以下の作業を行っていきます。
AWS Cost Explorer の有効化と確認
はじめて コスト管理ホーム の画面を開くと、データの収集が開始されます。データの収集には24時間かかりますので、24時間経過後に再度開くとコスト状況を参照できるようになります。
AWS Budgets を使った請求アラート
予算は2つまでは無料で作成できます。
-
まずはあらかじめ設定した予算を超過したことを把握するための設定をしていきます。予算 の画面を開き、「予算の作成」ボタンを押します。
-
予算の設定の項目ではシンプルな「テンプレートを使用」を選択。
-
テンプレートは自身の予算に合わせて選択します。私の場合は可能な限り節約を目指しますが、安心できるセキュリティ対策であったり学習にかかるコスト分を許容しようと思ってるので、「月次コスト予算」を選択して予算額を$10ほど積みました。またEメールの受信者を設定して、「予算を作成」ボタンで予算を作成します。
-
予算 の画面では作成した予算が登録されているため、登録された予算のリンクをクリックして、アラートタブから「アラートの編集」ボタンを押すことで設定していきます。アラートはデフォルトで3つ(実際のコストが85%を超過した場合、予測コストが100%を超過した場合、実際のコストが100%を超過した場合)設定されています。自身の利用に合わせてアラートを設定します。私の場合は、実際のコストが85%を超過した場合のアラートを削除し、代わりに実際のコストが33%を超過した場合と実際のコストが66%を超過した場合を追加しました($1=150円計算で500円程度と1000円程度)。
-
次に定期的に予算レポートを把握するための設定をしていきます。予算レポートの画面を開き、「予算レポートを作成する」ボタンを押します。
-
レポート名に任意の名前をつけ、該当の予算を選択し、配信設定で頻度とEメールの受信者を自身の状況に合わせて設定し、「予算レポートを作成する」ボタンを押して作成します。なおレポート1通につき$0.01程度のわずかな利用料金がかかります。
コストと使用状況レポートの設定
コストと使用状況レポートとは、AWSからの請求の詳細なデータが含まれるレポートファイルです。
ユーザーが各サービスの利用状況を時間単位・日単位で確認したり、Cost Explorerがグラフを用いて感覚的にコスト状況を理解できるようになっていることに対して、コストと使用状況レポートは詳細データを用いて分析などを可能にします。
コストと使用状況レポートはデータがS3に格納されるためS3の利用料(ごく僅か)が発生します。
-
コストと使用状況レポートの画面を開き、「レポート作成」ボタンを押します。
- レポートの詳細の指定の画面が開くので、レポート名に任意の名前を入して、「次へ」ボタンを押します。
- 配信オプションの設定の画面が開くので、S3バケットの設定に任意のバケット名を設定したり(バケット名はユニークである必要があるため、日時を入れるなどしてユニークになるようにしてください)、レポート配信オプションで自身の利用目的に合わせて設定を行い、「次へ」ボタンを押します。
- 確認と作成画面が表示されるため、下部にある「レポートの作成」のボタンを押して、レポートを作成します。
操作履歴とリソース変更履歴の記録
セキュリティ対策の一環として、利用者の操作ログを記録・管理することは不可欠です。
「いつ」「だれが」「どのリソースを」「そのように操作したか」「結果どうなったか」といった情報などがログに適切に記録されている必要があります。
- AWS CloudTrailを利用することで、AWSのサービスを利用する際の行動履歴をログに記録し、継続的に監視し、保持することができます(操作履歴)。
- AWS Configにてリソースの変更履歴、構成情報を管理・監視することができます(リソース変更履歴)。
AWS CloudTrailの証跡の保存
-
AWS CloudTrailの画面を開き、「証跡の作成」ボタンを押します。
- クイック証跡の作成のページが開くので、任意の証跡名を入力し、「証跡の作成」ボタンを押して、証跡を作成します(証跡の保存先のS3の料金が発生します)。
AWS Configの有効化
-
AWS Configの画面を開き、「今すぐはじめる」ボタンを押します。
- 設定のページが開くので、デフォルトの設定のまま「次へ」ボタンを押します。
- ルールのページが開きますが、今回はルールを設定せずに「次へ」ボタンを押します。
- レビューのページが開くので、確認して「確認」ボタンを押してAWS Configを有効にします(記録された設定項目あたりの料金と設定履歴ファイルの保存先のS3の料金が発生します)。
脅威検知
悪意のある操作や不正な動作を継続的にモニタリングする脅威検出サービスであるAmazon GuardDutyを有効化します(Amazon GuardDutyは30日無料ですが、以降は分析したログの量に応じて料金が発生します)。
Amazon GuardDutyの有効化
-
Amazon GuardDutyの画面を開き、「今すぐはじめる」ボタンを押します。
- GuardDutyにようこそのページが開くので、「GuardDutyを有効にする」ボタンを押してGuardDutyを有効にします。
おまけ
AWSマネジメントコンソールへのサインイン通知
基本的に自分しか利用しないため、AWSマネジメントコンソールにサインインした際に通知を受けるようにし、自分以外のサインインを把握できるようにします。
-
AWS User Notifications の画面を開き、サイドメニューから通知ハブを開きます。
-
配信チャネルのページでは、配信チャンネル(通知先)として、今回はメールアドレスを設定することとし、「Eメールの追加」ボタンから設定します。
-
追加すると設定したメールアドレスにメールが届くので、手順に従いメールの検証を行います。
-
通知設定のページでは、「通知設定を作成」ボタンを押します。
-
通知設定を作成のページでは、以下のように設定し、「通知設定を作成」ボタンを押して通知設定を作成します。
- 名前と説明:任意の名前と説明を入力します。
- イベントルール
- AWSのサービスの名前:「AWS Console Sign-in」
- イベントタイプ:「サインインイベント」とし「任意のユーザー」を選択
- リージョン:有効なすべてのリージョンを選択
- 集約設定:集約しない
- 配信チャネル - オプション
- チャネル:「Eメール」を選択
- Eメール:先程配信チャネルで追加したEメールの受信者と名前を設定