この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
コンニチハ、千葉です。
AWSのセキュリティブログでこんなポストがありました。
Getting Started: Follow Security Best Practices as You Configure Your AWS Resources
ということで、早速環境を見直して見ました。
強力なパスワードの設定
パスワードポリシーは、IAMから設定可能です。パスワード管理についてはサードパーティ製のパスワード管理ツールを利用するといいでしょう。
IAMのアカウント設定から変更できます。
参考:IAM ユーザー用のアカウントパスワードポリシーの設定
AWSアカウントでグループメールを使う
自社でAWSアカウントを管理している場合は、アカウント作成時にメールアドレスを登録していると思います。その場合は、グループメールを指定しておくと、特定の人が不在でも他の誰かがメールを受け取ることができ対応できます。AWSアカウント作成時はグループメールを登録しましょう。既に登録してしまっている場合は、マネージメントコンソールから変更可能です。
参考:AWS アカウントの管理
MFAの有効化
MFAを有効化することで、認証レイヤを追加することができます。万が一、ユーザーID/パスワードが漏洩した場合でもMFA認証があるため不正利用のリスクを低減できます。必ず有効化しましょう。設定対象はルートアカウント、IAMユーザーとなります。
参考:
AWSへのアクセスはIAMユーザー、グループ、ロールを利用する
まず、ルートアカウントでもAWSの操作ができますが権限が強いため、基本的にはルートアカウントでのAWS操作はやめましょう。そのかわりに、IAMユーザーを利用します。 まず、IAMグループを作成し、適切な権限を付与します。そこへ、IAMユーザーを作成し所属させます。
また、AWSをAPIで操作する場合はアクセスキーを発行し操作できますが、制限がない限りIAMロールを利用します。例えば、EC2でAWS SDKを利用する場合、IAMロールを作成しEC2へアタッチします。
参考:
ルートアカウントのアクセスキー削除
ルートアカウントは権限が強いため、AWSの操作には利用しません。ルートアカウントでアクセスキーを発行している場合は削除します。プログラムからAWSを操作する必要がある場合は、IAMユーザー側でアクセスキーを発行するか、IAMロールを利用します。
CloudTrailの有効化
CloudTrailを有効化すると、AWSの全ての操作履歴を取得することができます。例えば、セキュリティ事故が発生した場合履歴を確認することができます。とても重要な項目です。 必ず有効化し、トラブルシューティング時に困らないようにしましょう。
可視化もできるみたいです。TrailDashでCloudTrailを可視化する
参考:
Next Step !!
最小最低限の設定は以上です。次のステップへ!
- AWS Secure Initial Account Setup
- Introduction to AWS Security whitepaper
- AWS Cloud Security Resources
- AWS Security Best Practices whitepaper
- Security by Design
最後に
作成したアカウントに対して、見直しをしましょう。もちろん、弊社で発行しているアカウントであれば上記、全部対応済みなのでご安心ください。 快適なクラウドライフを!
参考
Getting Started: Follow Security Best Practices as You Configure Your AWS Resources
8
