【AWS初心者】できるかな？ AWS Hands-on for Beginners 「アカウント作成後すぐやるセキュリティ対策」

はじめに

こんにちは、「できるかな」のゴン太くん大好き世代の上山（かみやま）です。
前回やってみた『AWS Hands-on for Beginners』の2つ目のタイトルに「アカウント作成後、すぐやるセキュリティ対策」とありました。
これはやらねばダメでしょうと言うことで今回は「アカウント作成後すぐやるセキュリティ対策」をやっていきましょう。
ハンズオンの中でも説明されていますが、料金についても意識しながらやっていきたいと思います。
これからAWSを始めようという方やハンズオンをやってみようと考えている方の参考になれば幸いです。

アカウント作成後すぐやるセキュリティ対策

このハンズオンは以下の構成となっています。
リソースの削除までハンズオンの中に含まれているなんて、忘れやすい年頃の私にはありがたいですね。
　　1. ハンズオンの概要
　　2. AWS のセキュリティ
　　3. IDアクセス権管理 (1)
　　4. IDアクセス権管理 (2)
　　5. 請求データの確認とアラート
　　6. 操作履歴とリソース変更履歴の記録
　　7. 脅威検知
　　8. ベストプラクティスの確認
　　9. まとめ
　　10. 作成したリソースの削除

「アカウント作成後すぐやるセキュリティ対策」についての詳しい説明は以下のリンクを参照して下さい。
参考：AWS ハンズオン資料

やってみよう

それではさっそくハンズオンをやってみたいと思います。 よろしくお願いしまーす。
このハンズオンは無料で視聴できますが、はじめに申込みが必要です。
申込み後に視聴可能になりますし、資料をダウンロードすることも可能です。
少し長いですが、お付き合いいただけると幸いです。

アカウントでセキュリティ対策してみた

まずはアカウントのセキュリティ強化ですね。そのあとにIAMユーザを作成します。
アカウント・IAMユーザ関連でやっていくことをざっくりまとめると以下になります。
　　　・アカウントの多要素認証の有効化
　　　・アクセスキーの確認
　　　・パスワードポリシーの設定
　　　・グループとユーザの作成
　　　・ユーザの多要素認証の有効化
　　　・請求情報へのアクセス設定
それでは一つずつやっていきましょう。

アカウントの多要素認証の有効化

アカウントのセキュリティ強化のために多要素認証としてMFAを設定していきます。

弊社ではパスワード管理ツールとして「1Password」を利用しているのですが、初めてIAMユーザに設定した時の苦労？を思い出します。

無事にアカウントへのMFAの設定ができました。
アカウント作成時にはセットでMFAも設定しましょう。

アクセスキーの確認

アカウントのアクセスキーはデフォルトでは作成されません。
ここではアクセスキーが作成されていないことを確認します。
もし、アカウントのアクセスキーを利用していた場合は、必要なポリシーを設定したIAMユーザのアクセスキーに変更するか、もしくは、IAMロール（こちらが推奨）を使用するようにしましょう。

アクセスキー管理については以下のマニュアルを参照して下さい。
アクセスキーを管理するためのベストプラクティス

パスワードポリシーを設定する

次にパスワードポリシーを設定してセキュリティ強化をしていきましょう。
企業の場合は独自のポリシーがあると思いますが、今回は個人環境なので自分ポリシーで設定してみます。
ちなみに私が個人的に利用しているアプリなどのパスワード長は基本20桁以上にしています。（それぞれ別ものです）
たまに何桁以上、何桁以内というポリシーがあったりして、その時のほうがめっちゃ困りますね。
今のところ覚えられる範囲でしかアプリなど利用していないのでパスワード管理ツールは利用していませんが、そろそろ考えた方がいいお年頃です。

IAMグループとIAMユーザを作成する

アカウントに代わるAdministrator権限をもつIAMグループを作成し、そこへ「AdministratorAccess」を設定しIAMユーザをグループへ追加します。

IAMユーザへのMFA設定

アカウントと同じように作成したIAMユーザでもMFAを設定します。

IAMユーザの請求情報へのアクセス設定

デフォルトではIAMユーザでは請求情報へアクセスできません。
作成したIAMユーザでも請求情報を見られるように設定してみます。
閲覧できるユーザを限定することもできるようですので、必要なユーザにのみ閲覧できるように設定しましょう。
「必要最小限で権限を設定をする」やっぱりこれ大事ですね。

請求データとアラートについて学んでみた

ここからは請求データとアラートについて学んでいきます。
知らない内に請求額が高額になってました。なんてことになりたくはありませんからね。

請求データ

まずは「AWS Cost Explorer」を有効化していきます。
これでコンソールから利用状況を確認できます。
有効化直後は見ることができないので数日後に状況を確認してみました。
といっても、$0.00なんですけどね。。。

つぎに「AWS Budgets」で請求金額アラートの設定をしてみます。
指定期間で閾値を超えたらアラート（メール）が来るようになります。
アラートは2件の設定まで無料なので1件作ってそのままにしてみます。
ハンズオンでは月の予算額が$10で利用料が$6超えたらアラート（閾値60%）が上がる設定でやってましたが、私はビビりなので月の予算額$5にして$3ドル超えたらアラートが上がるように設定しました。インスタンスを削除し忘れて請求が発生しても家族会議は避けたいですもんね。
レポートも作成できるのですが、レポートは1件につき0.01USDかかるので今回は学習だけにしておきました。
他にも「AWS Cost & Usage Reports」を設定することによってCSV形式で詳細なレポートを確認することができるのですが、こちらもレポート保存先のS3の料金が掛かりますので今回は学習だけにしておきます。

アラートが起きた時の確認方法

実際にアラートが起きたときに「じゃあどうすればいいの？」ってなりますよね。私は確実にあわあわします。
アラートが上がった場合、「AWS Cost Explorer」でどのサービスでいつ、どのぐらい料金が発生しているのかとか、リージョン、インスタンスなどが分かるようになっています。実際はレポートやログなんかも見ると思いますが、問題を素早く把握して対処するための情報収集ができるのはありがたいですね。

操作履歴、リソース変更履歴

こちらは誰がいつどういった操作をしたのかの履歴を確認するための設定ですね。
「AWS CloudTrail」は過去90日間の操作のイベントログが保存されています。それ以上の期間保存が必要な場合は証跡を作成してS3へ保存する必要があります。
「AWS Config」を有効化するとリソースの設定履歴が保存されます。保存先のS3の料金と設定項目あたりにつき料金が発生します。
CLFの勉強の中でもよく出てきたサービスですね。 「Amazon CloudWatch」、「AWS Trusted Advisor」、「AWS Artifact」なんかもそうですが響きが好きです。（どーでもいいですけど）

脅威検知

「Amazon GuardDuty」を有効化することによってVPC Flow logs、DNS logs、AWS CloudTrailなどから脅威を検出してくれます。
30日間無料でその後は分析したログの量によって料金発生するそうです。こちらも学習だけにしておきました。
もう、お気づきかと思いますが料金が発生しそうなものは今回のハンズオンでは学習だけにしています。
どんだけビビりかってところです。

ベストプラクティスの確認

「AWS Trusted Advisor」を利用してベストプラクティスを確認することができます。
残念ながらサポートプランによって見える範囲が違い、全てを利用するにはビジネスプラン以上が必要になります。
あ～、ビジネスプラン。。。いつか全部を見てみたい。

リソースの削除

今回のハンズオンはここまでになります。最後に作成したリソースや有効化した設定を削除していきます。
料金が掛かってしまうものは有効化することを避けていましたがやっても良かったかなぁと思いました。
いくつかS3を作成していましたのでS3の削除で注意点も教えてもらえました。
S3を削除する時は先に中身をカラにしてからじゃないと削除できないそうです。
初心者の私は知らなかったので最後の最後まで勉強になりました。
私は無料でできる部分についてはそのままにして置きたいと思います。
慣れの問題だと思いますが、どうもバケットと聞くと脳内ではフランスパンをイメージしてしまいます。

まとめ

ハンズオンの中でいろいろなサービスをさわって試して見ることができたことで勉強で得た知識をより体感できたと思います。
セキュリティは大事ですのでAWSを利用する上での第一歩を踏み出せたのではないかと思いました。一歩一歩レベルアップしていきたいですね。
今回、視聴だけで実際に手を動かさなかった部分もありますので大きなつまづきはなかったのですが、つまづきは得意中の得意ですのでこれからも気づきやつまづきを公開していければと思っています。
セキュリティについて意識するにはとても良いハンズオンだと思いますので、これからAWSを始めようという方やハンズオンをやってみようと考えている方の参考になれば幸いです。

参考資料

ハンズオンの中での参考資料（一部）になります。　詳細はハンズオン資料を参照下さい。
AWS クラウドサービス活⽤資料集
IAM でのセキュリティのベストプラクティス
AWS アカウントのルートユーザー認証情報が必要なAWS タスク
AWS コンプライアンス
AWS 責任共有モデル
AWS ホワイトペーパー
AWS コンプライアンスプログラム
AWS Artifact
AWS セキュリティドキュメント