[insightwatch]AWSのrootアカウントの管理ってどうしてますか?運用を見直してみる #AWSSummit

インサイトウォッチ

コンニチハ、千葉です。

AWS Summitでリリースしたクラスメソッド謹製ツールinsightwatchを使ってみたシリーズです。無料で簡単に利用を開始できますので、ガンガンご利用くださいませ。そして、フィードバックや欲しい機能などごご要望くださいませ。セキュリティチェック以外のコスト見直しとかでもなんでも!

AWSユーザー必携「小さな発見、大きな安心」インサイトウォッチをリリースしました

概要

rootアカウントの管理はどのように行っていますか?rootアカウントとは、AWSアカウントの中で一番権限があるユーザーです。ベストプラクティスとしては、rootアカウントは基本的には利用しないことです。だたし、一部rootアカウトでしか実施できない作業もあります。 特別なことがない限り、IAMユーザーを使った運用を行いましょう。そして、rootアカウントは限られた管理者のみ利用できるように制限しておきます。

insightwatchでのチェック項目は以下です。

  • CIS 1.1 rootアカウントが利用されていないこと
  • CIS 1.12 rootアカウントのアクセスキーが設定されていないこと
  • CIS 1.13 rootアカウントがMFAにより保護されていること
  • CIS 1.14 rootアカウントがハードウェアMFAにより保護されていること

rootアカウントの運用を見直してみた

insightwatchでAWSアカウントを連携し、チェックを実行します。insightwatchは複数のAWSアカウントを統合的にチェックできるので、複数のAWSアカウントであっても簡単に面倒なくチェックすることができます。

まずは、rootアカウントが直近で利用されていないか確認しましょう。2週間以内にrootアカウントが利用されたアカウントの一覧が表示されます。rootアカウントを常用していないかを確認しましょう。

次にrootアカウントのアクセスキーの設定を確認します。基本的にはIAMを利用するので、rootアカウントのアクセスキーを削除します。もし、rootアカウントを利用している場合はIAMユーザーへ移行しましょう。

rootアカウントのMFAが無効になっているAWSアカウント一覧を確認します。こちらはいますぐ対応しましょう!!rootアカウントは強力な権限を持ちます。また、基本的にrootアカウントは利用せずIAMを利用します。IAMのベストプラクティスです。

次の項目は、rootアカウントでハードウェアMFAを使っているかという項目です。

ハードウェアMFAにはちょっと注意ポイントがあります。それは、1つのハードウェアデバイスは1つのアカウントでしか利用できません。例えば、10個AWSアカウントがあるとすると、10台のMFAデバイスが必要になります。そのため、全部対応するとハードウェアの管理という問題が出てきます。アカウントが複数ある場合、CISでは優先度が高いアカウントにハードウェアMFAの導入を検討してくださいと記載があります。 rootアカウントへのハードウェアMFAの設定方法はこちらです。

さいごに

insightwatchを使って、rootアカウントの利用状況を確認してみました。今、自分の環境ってどうなってるの?と不安になった方、insightwatchで自分のAWS環境の状況を確認してみてはいかがでしょうか?

insightwatchを無料ではじめる

参考