【レポート】AWSome Day at Tokyoその3:AWSのセキュリティの基本#AWSSummit

こんにちは、田中です。

2019/6/12(水)~14(金)に開催されたAWS Summit Tokyo 2019に参加してきました!

本記事は、「AWSome Day at Tokyo」セッション3:AWSのセキュリティの基本のレポートです。

概要

スピーカー:アマゾン ウェブ サービス ジャパン株式会社 テクニカルトレーナー 佐藤 礼 氏

「AWSome Day」は、AWS クラウドジャーニーのはじめの一歩として、AWS に関する基礎知識を体系的に学ぶ無償のトレーニングイベントです。AWS テクニカルインストラクターが主導するセッションを通じて、コンピューティング、ストレージ、データベース、ネットワークといった AWS の主要なサービスを段階的に学ぶことができます。また、AWSに関わる方への基礎知識として、請求、アカウントマネジメント、料金モデル等、実際の導入に向けた内容となっております。技術的な面だけではなく、これから AWS クラウドを学ぶために必要となる知識を身に付けたい方、エンジニアのみならず、営業職、プリセールス職、学生まで幅広い方々におすすめします。半日のセッションを通して、これからAWSを使っていただく際の肝となる考え方を身につけていただけます。

 

セッション3:AWSのセキュリティの基本

AWS責任共有モデル

お客様

  • お客様のデータ
  • プラットフォーム、アプリケーション、アイデンティティとアクセスの管理
  • オペレーティングシステム、ネットワーク、ファイアウォール設定
  • クライアント側のデータ暗号化とデータの整合性認証
  • サーバー側の暗号化(ファイルシステムおよびデータ)
  • ネットワークトラフィックの保護(暗号化/整合性/アイデンティティ)

AWS

  • 基盤サービス
    • コンピューティング
    • ストレージ
    • データベース
    • ネットワーク
  • AWSグローバルインフラストラクチャ
    • エッジロケーション
    • アベイラビリティゾーン
    • リージョン

アクセスコントロールと管理

AWS Identity and Access Management(IAM)

AWSリソースへのアクセス制御

  • 認証
  • 認可

クラウドサービスへのアクセス

  • コンピューティング
  • ストレージ
  • データベース
  • アプリケーションサービス

機能

  • ユーザーとそのアクセス権の管理
  • ロールとその権限の管理
  • フェデレーディッドユーザーとその権限の管理

マネジメントコンソールへのアクセス

IAMユーザー

  • ユーザー名とパスワードでアクセスする ※誰かに盗まれたときのためにMFAをかけよう!よりセキュアにユーザー管理を行うことができる
  • 特に管理者権限のユーザー管理に使ってほしい

AWS CLIまたはSDK API

  • アクセスキーとシークレットキー 認証情報で作成する
  • こちらをプログラムに打ち込んで接続する
  • どんな権限をもっているか:アクセス情報で確認

AWSアカウントルートユーザー

  • アカウントルートユーザーがすべてのAWSサービスへの完全なアクセス権を持つ
  • メールアドレスでログインする=ルートユーザーでログインする ※強力な権限を持っているので普段使いにはおすすめできない。

AWSアカウントルートユーザー

推奨する管理方法

  • ルートユーザーのアクセスキーを削除する(存在している場合)
  • IAMユーザーを作成する
  • 管理者アクセス権を付与する
  • IAM認証情報を使用してAWSを操作する

AWS IAMのベストプラクティス

  • AWSアカウントの(ルート)アクセスキーがある場合は削除
  • 個々のIAMユーザーの作成
  • グループを使用してIAMユーザーに権限を割り当てる
  • 最小権限を付与
  • 強力なパスワードポリシーを設定する
  • 権限のあるユーザーに対してMFAを有効にする