AWSリソースについてセキュリティベストプラクティスに従った設定をしよう!

IAM

コンニチハ、千葉です。

AWSのセキュリティブログでこんなポストがありました。

Getting Started: Follow Security Best Practices as You Configure Your AWS Resources

ということで、早速環境を見直して見ました。

強力なパスワードの設定

パスワードポリシーは、IAMから設定可能です。パスワード管理についてはサードパーティ製のパスワード管理ツールを利用するといいでしょう。

IAMのアカウント設定から変更できます。

20170613-aws-security-best-practice-config-1

参考:IAM ユーザー用のアカウントパスワードポリシーの設定

AWSアカウントでグループメールを使う

自社でAWSアカウントを管理している場合は、アカウント作成時にメールアドレスを登録していると思います。その場合は、グループメールを指定しておくと、特定の人が不在でも他の誰かがメールを受け取ることができ対応できます。AWSアカウント作成時はグループメールを登録しましょう。既に登録してしまっている場合は、マネージメントコンソールから変更可能です。

参考:AWS アカウントの管理

MFAの有効化

MFAを有効化することで、認証レイヤを追加することができます。万が一、ユーザーID/パスワードが漏洩した場合でもMFA認証があるため不正利用のリスクを低減できます。必ず有効化しましょう。設定対象はルートアカウント、IAMユーザーとなります。

参考:

AWSへのアクセスはIAMユーザー、グループ、ロールを利用する

まず、ルートアカウントでもAWSの操作ができますが権限が強いため、基本的にはルートアカウントでのAWS操作はやめましょう。そのかわりに、IAMユーザーを利用します。 まず、IAMグループを作成し、適切な権限を付与します。そこへ、IAMユーザーを作成し所属させます。

また、AWSをAPIで操作する場合はアクセスキーを発行し操作できますが、制限がない限りIAMロールを利用します。例へば、EC2でAWS SDKを利用する場合、IAMロールを作成しEC2へアタッチします。

参考:

ルートアカウントのアクセスキー削除

ルートアカウントは権限が強いため、AWSの操作には利用しません。ルートアカウントでアクセスキーを発行している場合は削除します。プログラムからAWSを操作する必要がある場合は、IAMユーザー側でアクセスキーを発行するか、IAMロールを利用します。

参考:AWS アカウントのアクセスキー管理

CloudTrailの有効化

CloudTrailを有効化すると、AWSの全ての操作履歴を取得することができます。例へば、セキュリティ事故が発生した場合履歴を確認することができます。とても重要な項目です。 必ず有効化し、トラブルシューティング時に困らないようにしましょう。

可視化もできるみたいです。TrailDashでCloudTrailを可視化する

20170613-aws-security-best-practice-config-2

参考:

Next Step !!

最小最低限の設定は以上です。次のステップへ!

最後に

作成したアカウントに対して、見直しをしましょう。もちろん、弊社で発行しているアカウントであれば上記、全部対応済みなのでご安心ください。 快適なクラウドライフを!

参考

Getting Started: Follow Security Best Practices as You Configure Your AWS Resources