【AWS】アカウントのセキュリティ
※下記の内容に不備がありましたら、コメント頂けると幸いです。また、下記の内容をご使用頂ける場合は自己責任でお願いします。
概要
AWSはとても便利な反面、第三者からも狙いやすいです。極論、パソコンとネットワークが整っていれば、勝手にAWSを操作することができます。
しかし、しっかりと対策を講じていればそのリスクを減らすことができるので、セキュリティ対策は万全にしておきしょう。
このブログで書かれていることを実行すれば100%大丈夫というわけではないので、参考程度に見ていただき、各々にあったセキュリティ対策を実施するのがいいと思います。
IAMのダッシュボードに書かれているベストプラクティスを参考にされるのもいいかもしれません。
https://console.aws.amazon.com/iam/home?region=ap-northeast-1#/home
アカウントのセキュリティ
実施内容
今回は以下の三つのセキュリティ対策を行います。
- ユーザアカウントを使う
- 多要素認証の有効化
- AWS Cloud Trailの有効化
ユーザアカウントを使う
最初に作成したAWSアカウントはルートアカウントと呼ばれ、なんでもできてしまうアカウントになります。それを使い続けるのはセキュリティ的に非常にマズいので、極力使わないようにします。
ルートアカウントは権限を付けた別のユーザを作成することが可能なので、今後はそのユーザを使ってAWSのサービスを触っていきます。
作業内容は割愛しますが、以下のことを行いました。
- ユーザ作成でグループを作ってユーザを追加してAdministratorAccess権限を付与
- 作ったグループの「アクセス権限の追加」から、「既存のポリシーを直接アタッチ」を選択し、IAMユーザーという権限を付与
- アカウント設定からパスワードポリシーを変更
多要素認証の有効化
少し前に多要素認証機能が実装されていないサービスが問題になりましたよね。
AWSでは多要素認証機能が実装されているので、なりすましを防ぐためにも多要素認証を有効化しておきます。
作業内容は割愛しますが、以下のことを行いました。
- 仮想MFAデバイスでMFAを有効化
AWS Cloud Trailの有効化
AWS Cloud Trailを有効化することでアクティビティログを記録することができます。万が一、誰かに勝手にAWSを使われた時も誰が使ったのか分かるようになります。
またCloud Watchと連携させると、Cloud Trailから送信されてくるアクティビティログを元に、Cloud WatchがLambdaなどに何らかの操作を実行させることもできるようになります。
作業内容は割愛しますが、以下のことを行いました。
- 証跡の作成
- Cloud Watchの設定
これでアクティビティログやAPI実行ログをS3に記録することができました。注意点としては、S3はデータが貯まると有料になるので、有料になるのが嫌な方は、定期的なデータの削除やS3に記録しないなどの対策が必要です。
今後に向けて
次回から本格的にサービスを触っていく予定です。