JAWS-UG 初心者支部 #22 ハンズオン用の資料です。
目的
AWSアカウントを不正利用されないために、アカウントを作成したらまずやるべきセキュリティ周りの設定を行います。
前提
- AWSアカウントを作成済みであること
- AWSアカウントにログインしていること
- リージョンは東京リージョンを利用します
ハンズオン手順
アカウント周りの設定
ルートアクセスキーの削除
※ルートアカウントのアクセスキーは、デフォルトでは作成されておりません。アクセスキーを作成済みの方を対象とします。
ルートアカウントは全てのサービスへのアクセスが出来てしまうため、ルートアカウントは使用せず、IAMユーザーを使用しましょう。
CLI等のプログラムアクセスも不要なため、アクセスキーを削除します。
https://console.aws.amazon.com/iam/home#/security_credentials
![スクリーンショット_2020-01-07_0_54_13.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2Fd6965fac-29d4-09a8-b58c-b36e928a71d3.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=7a7eb55ae034aec98169b7794fb09284)
ルートアカウントのMFA有効化
もしメールアドレスとパスワードが流出してしまっても、ログインできないように多要素認証を有効化しておきます。
「多要素認証(MFA)」のタブにある「MFAの有効化」をクリックします。
https://console.aws.amazon.com/iam/home#/security_credentials
![スクリーンショット_2020-01-07_0_55_55.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F83c49536-05bf-1cd3-f040-2357ec33ee3b.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=7794535e8e496ea0b187dbbd68355ec2)
割り当てるMFAデバイスの種類を選択します。
今回は仮想MFAデバイスを利用します。仮想MFAとしては「GoogleAuthenticator」等のアプリがあります。
AppStoreやGooglePlayStoreからMFAアプリをダウロードしましょう。
![スクリーンショット_2020-01-07_0_58_08.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F10ca9b43-830c-f62b-e38a-b755ec83c9f6.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=5436e7e00d680d6518aab55797307852)
「QRコードを表示」をクリックし、画面に表示されたQRコードをMFAアプリでスキャンします。(もしくはシークレットキーを入力します)
アプリに表示されたコードを2つ入力し、MFAの割り当てを行います。
![スクリーンショット_2020-01-07_0_58_27.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F01fad938-a1c5-2f5c-e885-c7f3677e32e6.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=a01790da7d5ccd0f555d98ee8a44f271)
以下のようなモーダルが表示されると、割り当てが完了します。
![スクリーンショット 2020-01-07 0.59.21.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F07777e1e-cb53-79f0-9e5f-deaa7fcb70fe.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=26fbd169fa309bad80b09197bf94dad3)
パスワードポリシーの変更
デフォルトの設定は「6文字以上」となっていますが、もう少し複雑なパスワードポリシーに変更します。
「パスワードポリシーを設定する」をクリックします。
![スクリーンショット_2020-01-14_12_03_40.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2Fe186f5ff-9d27-787b-ccd9-01a21f08cb84.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=f65b6b422c10d0c0920dfd6def50e3c2)
今回は
- 8文字以上
- 1文字以上のアルファベット大文字(A〜Z)を含む
- 1文字以上のアルファベット小文字(a〜z)を含む
- 1文字以上の数字を含む
- 1文字以上の記号を含む
とします。
![スクリーンショット 2020-01-14 12.04.47.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2Fa410e7ed-f19a-267a-3ff0-f12efc4a8ac4.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=254813ea45b46cf098252b857c29f6dd)
IAMグループの作成
IAMユーザーを作成する前に、IAMグループを作成します。
IAMグループを作成することで、権限管理がしやすくなります。
「新しいグループの作成」をクリックします。
![スクリーンショット_2020-01-14_14_50_30.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F9e86b7b0-1fb9-39de-ed70-39938897fb7a.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=bb9189d54ed461b048fcff68a243404b)
グループ名を入力します。
今回は全ての操作ができるグループを作成するため、admin
とします。
IAMグループにアタッチするポリシーを選択します。
今回はマネージドポリシーの「AdministratorAccess」を選択します。
※今回はハンズオンのためAdministratorAccessを利用しますが、実際に運用を始める際には最低限の権限を付与することをお勧めします。
![スクリーンショット 2020-01-14 14.51.18.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F7d722c73-87e9-b0f6-56ed-db9ce047e1b4.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=a58ae255d76f747d8d504ed5e39169fa)
IAMユーザーの作成
ルートアカウント以外にログインできるアカウント(IAMユーザー)を作成します。
https://console.aws.amazon.com/iam/home#/users
ユーザー名を入力します。
今回はマネジメントコンソールにログインが出来れば良いので、「AWSマネジメントコンソールへのアクセス」にチェックを入れます。
パスワードは「カスタムパスワード」を選択し、任意のパスワードを入力します。
![スクリーンショット 2020-01-14 14.49.56.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2Fcc4535b7-a1ed-47b7-0ff5-2126c322231e.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=1b83b336ca90df08a6f838bc33602977)
IAMユーザーを追加するIAMグループを選択します。
先程作成したadmin
を選択します。
必要に応じて「.csvのダウロード」からログイン情報をダウンロードして下さい。
![スクリーンショット_2020-01-14_14_53_26.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2Fb27091ee-df1f-09ee-4b78-ed197101bcf5.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=c04fe6fd6eac50b00e7b59756fc4be11)
ユーザーの作成が終わったら、ログインしてみましょう。
完了画面に表示されているログインURL(https://xxxxxxxxxxxx.signin.aws.amazon.com/console
)からログイン出来ます。
MFA設定
作成したIAMユーザーに対してもMFAの設定を行い、セキュアにしておきましょう。
IAMユーザー一覧から、先程作成したユーザーを選択し、「認証情報」タブにあるMFAデバイスの割り当ての「管理」をクリックします。
![スクリーンショット_2020-01-15_13_57_56.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F7f8027a3-b5c8-efee-59df-35696474e167.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=e2c47825b9a9a7293733db2ad61f56b6)
rootアカウントの時と同様に設定を行います。
「仮想MFAデバイス」を選択します。
![スクリーンショット_2020-01-07_0_58_08.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F10ca9b43-830c-f62b-e38a-b755ec83c9f6.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=5436e7e00d680d6518aab55797307852)
「QRコードを表示」をクリックし、画面に表示されたQRコードをMFAアプリでスキャンします。(もしくはシークレットキーを入力します)
アプリに表示されたコードを2つ入力し、MFAの割り当てを行います。
![スクリーンショット_2020-01-07_0_58_27.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F01fad938-a1c5-2f5c-e885-c7f3677e32e6.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=a01790da7d5ccd0f555d98ee8a44f271)
以下のようなモーダルが表示されると、割り当てが完了します。
![スクリーンショット 2020-01-07 0.59.21.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F07777e1e-cb53-79f0-9e5f-deaa7fcb70fe.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=26fbd169fa309bad80b09197bf94dad3)
ロギング設定
ここから先は料金が発生します
※GuardDutyには30日間の無料トライアル期間があります。
CloudTrailの有効化
CloudTrailはAWSのAPIに対する操作ログを取得するサービスです。
有効化しておくと、いつ、どのアカウントが、どのような操作を行ったかを確認することが出来ます。
無料で90日分を遡ることが出来ますが、CloudTrailの有効化を行うことで、操作ログをS3に保存しておくことが出来ます。
「証跡の作成」をクリックします。
![スクリーンショット_2020-01-14_17_05_10.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F5906068d-9f3c-b806-286a-bb9cb6ef003f.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=ad441da77e7e0daf8af1bfad7c06a0fc)
操作ログを保存するS3を作成します。
重複しない名前を入力します。
GuardDutyの有効化
GuardDutyはAWSアカウントやAWSリソースに対する不審なアクティビティを検知/通知してくれるサービスです。
「今すぐ始める」をクリックしたあと、「GuardDutyの有効化」をクリックして有効化します。
![スクリーンショット_2020-01-15_10_55_40.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F06fa8dab-1a4d-fa31-a661-8d5a8c172ea5.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=69338c2579a6f115f72cd79dff2c8ea8)
![スクリーンショット_2020-01-15_10_55_48.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2Fba71438d-3642-00ce-8d5b-708cb1206e51.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=6161ae879dfcaf6efc15998022ec2e92)
結果画面が表示されたら完了です。
![スクリーンショット 2020-01-15 14.06.59.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2Fcc2e4058-c820-b960-54cc-fbd99c24c428.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=84de04635830459a79f81b07387a0347)
時間が余ったら・・・
GuardDutyのサンプル表示
GuardDutyでイベントが検知された場合、どのような結果が取得できるのか、サンプルデータで確認することが出来ます。
左メニューの「設定」→「結果サンプルの生成」をクリックします。
![スクリーンショット_2020-01-28_16_41_41.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2Ff046fdc6-153c-a785-63ef-4c839e00ba80.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=fbf913a9846c1787c8e6d4ff56de6417)
ボタンのローディングアニメーションが終了したら、左メニューの「結果」をクリックして結果一覧を見てみましょう。
![スクリーンショット 2020-01-28 16.46.18.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2F1b7aeb9a-82af-7a90-c448-1e8878fd23be.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=1a7160db51aa9bd1c022718f08989b73)
リストをクリックすることで詳細を確認することが出来ます。
以下の例であれば、 i-9999999
のEC2インスタンスがビットコインに関するIPアドレスにリクエストしている旨の警告が出ています。
![スクリーンショット 2020-01-28 17.12.13.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F234559%2Fc91b00bd-2dcc-3548-6a13-f665bff310bf.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=c17a3ef5be876c4b1cf1a5b587830194)
課金リソースの削除
CloudTrailとGuardDutyは、トライアル期間が終了してしまうと料金が発生するため、削除方法も記載しておきます。
CloudTrailの無効化
左メニューの「証跡情報」から、先程作成した証跡を選択します。
S3バケットの削除
CloudTrailのログを格納してあるS3バケットを削除します。
S3のコンソール画面から、対象のS3バケットを選択し、「空にする」をクリックしオブジェクトを削除した後、「削除」をクリックしてバケットを削除します。
GuardDutyの無効化
左メニューの「設定」から、一覧下にある「GuardDutyの無効化」セクションの「無効化」をクリックします。
参考
AWSが公開しているIAM運用のベストプラクティスも参照してみて下さい。
https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html
【初心者向け】AWSの脅威検知サービスAmazon GuardDutyのよく分かる解説と情報まとめ
この他にも最初にやるべきことがたくさんありますので、こちらもチェックしてみて下さい。
AWSアカウントを作ったら最初にやるべきこと ~令和元年版