この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
コンニチハ、千葉です。
AWS Summitでリリースしたクラスメソッド謹製ツールinsightwatchを使ってみたシリーズです。無料で簡単に利用を開始できますので、ガンガンご利用くださいませ。そして、フィードバックや欲しい機能などごご要望くださいませ。セキュリティチェック以外のコスト見直しとかでもなんでも!
概要
rootアカウントの管理はどのように行っていますか?rootアカウントとは、AWSアカウントの中で一番権限があるユーザーです。ベストプラクティスとしては、rootアカウントは基本的には利用しないことです。だたし、一部rootアカウトでしか実施できない作業もあります。 特別なことがない限り、IAMユーザーを使った運用を行いましょう。そして、rootアカウントは限られた管理者のみ利用できるように制限しておきます。
insightwatchでのチェック項目は以下です。
- CIS 1.1 rootアカウントが利用されていないこと
- CIS 1.12 rootアカウントのアクセスキーが設定されていないこと
- CIS 1.13 rootアカウントがMFAにより保護されていること
- CIS 1.14 rootアカウントがハードウェアMFAにより保護されていること
rootアカウントの運用を見直してみた
insightwatchでAWSアカウントを連携し、チェックを実行します。insightwatchは複数のAWSアカウントを統合的にチェックできるので、複数のAWSアカウントであっても簡単に面倒なくチェックすることができます。
まずは、rootアカウントが直近で利用されていないか確認しましょう。2週間以内にrootアカウントが利用されたアカウントの一覧が表示されます。rootアカウントを常用していないかを確認しましょう。
次にrootアカウントのアクセスキーの設定を確認します。基本的にはIAMを利用するので、rootアカウントのアクセスキーを削除します。もし、rootアカウントを利用している場合はIAMユーザーへ移行しましょう。
rootアカウントのMFAが無効になっているAWSアカウント一覧を確認します。こちらはいますぐ対応しましょう!!rootアカウントは強力な権限を持ちます。また、基本的にrootアカウントは利用せずIAMを利用します。IAMのベストプラクティスです。
次の項目は、rootアカウントでハードウェアMFAを使っているかという項目です。
ハードウェアMFAにはちょっと注意ポイントがあります。それは、1つのハードウェアデバイスは1つのアカウントでしか利用できません。例えば、10個AWSアカウントがあるとすると、10台のMFAデバイスが必要になります。そのため、全部対応するとハードウェアの管理という問題が出てきます。アカウントが複数ある場合、CISでは優先度が高いアカウントにハードウェアMFAの導入を検討してくださいと記載があります。 rootアカウントへのハードウェアMFAの設定方法はこちらです。
さいごに
insightwatchを使って、rootアカウントの利用状況を確認してみました。今、自分の環境ってどうなってるの?と不安になった方、insightwatchで自分のAWS環境の状況を確認してみてはいかがでしょうか?