【レポート】AWSome Day at Tokyoその3：AWSのセキュリティの基本＃AWSSummit

こんにちは、たなぱんだです。

2019/6/12(水)～14(金)に開催されたAWS Summit Tokyo 2019に参加してきました！

本記事は、「AWSome Day at Tokyo」セッション3：AWSのセキュリティの基本のレポートです。

概要

スピーカー：アマゾン ウェブ サービス ジャパン株式会社 テクニカルトレーナー 佐藤 礼 氏

「AWSome Day」は、AWS クラウドジャーニーのはじめの一歩として、AWS に関する基礎知識を体系的に学ぶ無償のトレーニングイベントです。AWS テクニカルインストラクターが主導するセッションを通じて、コンピューティング、ストレージ、データベース、ネットワークといった AWS の主要なサービスを段階的に学ぶことができます。また、AWSに関わる方への基礎知識として、請求、アカウントマネジメント、料金モデル等、実際の導入に向けた内容となっております。技術的な面だけではなく、これから AWS クラウドを学ぶために必要となる知識を身に付けたい方、エンジニアのみならず、営業職、プリセールス職、学生まで幅広い方々におすすめします。半日のセッションを通して、これからAWSを使っていただく際の肝となる考え方を身につけていただけます。

セッション3：AWSのセキュリティの基本

AWS責任共有モデル

お客様

• お客様のデータ
• プラットフォーム、アプリケーション、アイデンティティとアクセスの管理
• オペレーティングシステム、ネットワーク、ファイアウォール設定
• クライアント側のデータ暗号化とデータの整合性認証
• サーバー側の暗号化（ファイルシステムおよびデータ）
• ネットワークトラフィックの保護（暗号化/整合性/アイデンティティ）

AWS

• 基盤サービス
  • コンピューティング
  • ストレージ
  • データベース
  • ネットワーク
• AWSグローバルインフラストラクチャ
  • エッジロケーション
  • アベイラビリティゾーン
  • リージョン

アクセスコントロールと管理

AWS Identity and Access Management（IAM）

AWSリソースへのアクセス制御

• 認証
• 認可

クラウドサービスへのアクセス

• コンピューティング
• ストレージ
• データベース
• アプリケーションサービス

機能

• ユーザーとそのアクセス権の管理
• ロールとその権限の管理
• フェデレーディッドユーザーとその権限の管理

マネジメントコンソールへのアクセス

IAMユーザー

• ユーザー名とパスワードでアクセスする ※誰かに盗まれたときのためにMFAをかけよう！よりセキュアにユーザー管理を行うことができる
• 特に管理者権限のユーザー管理に使ってほしい

AWS CLIまたはSDK API

• アクセスキーとシークレットキー 認証情報で作成する
• こちらをプログラムに打ち込んで接続する
• どんな権限をもっているか：アクセス情報で確認

AWSアカウントルートユーザー

• アカウントルートユーザーがすべてのAWSサービスへの完全なアクセス権を持つ
• メールアドレスでログインする＝ルートユーザーでログインする ※強力な権限を持っているので普段使いにはおすすめできない。

AWSアカウントルートユーザー

推奨する管理方法

• ルートユーザーのアクセスキーを削除する（存在している場合）
• IAMユーザーを作成する
• 管理者アクセス権を付与する
• IAM認証情報を使用してAWSを操作する

AWS IAMのベストプラクティス

• AWSアカウントの（ルート）アクセスキーがある場合は削除
• 個々のIAMユーザーの作成
• グループを使用してIAMユーザーに権限を割り当てる
• 最小権限を付与
• 強力なパスワードポリシーを設定する
• 権限のあるユーザーに対してMFAを有効にする