AWSリソースについてセキュリティベストプラクティスに従った設定をしよう!
コンニチハ、千葉です。
AWSのセキュリティブログでこんなポストがありました。
Getting Started: Follow Security Best Practices as You Configure Your AWS Resources
ということで、早速環境を見直して見ました。
強力なパスワードの設定
パスワードポリシーは、IAMから設定可能です。パスワード管理についてはサードパーティ製のパスワード管理ツールを利用するといいでしょう。
IAMのアカウント設定から変更できます。
参考:IAM ユーザー用のアカウントパスワードポリシーの設定
AWSアカウントでグループメールを使う
自社でAWSアカウントを管理している場合は、アカウント作成時にメールアドレスを登録していると思います。その場合は、グループメールを指定しておくと、特定の人が不在でも他の誰かがメールを受け取ることができ対応できます。AWSアカウント作成時はグループメールを登録しましょう。既に登録してしまっている場合は、マネージメントコンソールから変更可能です。
参考:AWS アカウントの管理
MFAの有効化
MFAを有効化することで、認証レイヤを追加することができます。万が一、ユーザーID/パスワードが漏洩した場合でもMFA認証があるため不正利用のリスクを低減できます。必ず有効化しましょう。設定対象はルートアカウント、IAMユーザーとなります。
参考:
AWSへのアクセスはIAMユーザー、グループ、ロールを利用する
まず、ルートアカウントでもAWSの操作ができますが権限が強いため、基本的にはルートアカウントでのAWS操作はやめましょう。そのかわりに、IAMユーザーを利用します。 まず、IAMグループを作成し、適切な権限を付与します。そこへ、IAMユーザーを作成し所属させます。
また、AWSをAPIで操作する場合はアクセスキーを発行し操作できますが、制限がない限りIAMロールを利用します。例えば、EC2でAWS SDKを利用する場合、IAMロールを作成しEC2へアタッチします。
参考:
ルートアカウントのアクセスキー削除
ルートアカウントは権限が強いため、AWSの操作には利用しません。ルートアカウントでアクセスキーを発行している場合は削除します。プログラムからAWSを操作する必要がある場合は、IAMユーザー側でアクセスキーを発行するか、IAMロールを利用します。
CloudTrailの有効化
CloudTrailを有効化すると、AWSの全ての操作履歴を取得することができます。例えば、セキュリティ事故が発生した場合履歴を確認することができます。とても重要な項目です。 必ず有効化し、トラブルシューティング時に困らないようにしましょう。
可視化もできるみたいです。TrailDashでCloudTrailを可視化する
参考:
Next Step !!
最小最低限の設定は以上です。次のステップへ!
- AWS Secure Initial Account Setup
- Introduction to AWS Security whitepaper
- AWS Cloud Security Resources
- AWS Security Best Practices whitepaper
- Security by Design
最後に
作成したアカウントに対して、見直しをしましょう。もちろん、弊社で発行しているアカウントであれば上記、全部対応済みなのでご安心ください。 快適なクラウドライフを!
参考
Getting Started: Follow Security Best Practices as You Configure Your AWS Resources