☁️

AWSでやってはいけない事 5選

2022/05/31に公開約1,100字

結論

  • ルートアカウントの日常的な利用
  • MFA未設定
  • とりあえずadministratoraccessポリシーを使う
  • 請求を確認しない
  • リソースの見直しを行わない

ルートアカウントの日常的な利用

これはもう言わずもがな、絶対にやってはいけません。ましてルートアカウントの使い回しなんて絶対やってはいけません。
もしこの運用が当たり前になっている場合、不正アクセスされる前に今すぐAWS解約をオススメします。それくらい危険な事を行っている事を自覚して下さい。

ルートアカウントというのはAWSにおいて最強のアカウントであり、文字通り何でもできます。またアクセス権限の制限を与える事もできません。アカウントが乗っ取られた場合は何もできません。
基本的にルートアカウントは日常的に利用するアカウントではなく、IAMユーザーを使いましょう。

MFA未設定

ルートアカウントはもちろん、日常的に利用しているIAMユーザーには必ずMFAの設定を行いましょう。最低限ルートアカウントには必ず設定しましょう。
AdministratorやPowerUserなど強力な権限を付与しているものにも必ず設定しましょう。

とりあえずadministratoraccessポリシーを使う

IAMユーザーやロールに対し、「面倒だからとりあえずAdminつけておけ」は禁止です。必ず最小限の権限になるように設定しましょう。
しかし開発中のサービスとかテストとかでいきなり権限を絞ると、エラー原因が権限不足か他にあるのかが判断しにくくなるので、まずは権限以外の部分がしっかりできているかを確認してから、権限の絞り込みを行うと良いです。
問題はこの仮の状態のまま放置して、Admin権限が付いたまま運用してしまう事です。リソースが不正利用された時に防げないのと、予期せぬ動作を防ぐためにも権限は最小限に保ちましょう。

請求を確認しない

AWSで運用しているサービスが軌道にのり、安定してきたとしても必ず請求は定期的に確認するようにしましょう。

  • 無駄なリソースが動いてないか
  • 請求は想定内の金額になっているか
    こういう部分で請求を確認する事は非常に重要です。うっかりEC2を起動しっぱなしで請求が増えたとかを防ぐためにも、請求は確認する癖をつけましょう。

リソース見直しを行わない

これも絶対に実施しましょう。AWSは日々進化して、既存のサービスをお得に使える可能性があります。またEC2サイズやファミリーの変更、S3のストレージクラスの変更などでコスト削減が見込める可能性もあります。オンプレと違いコンピュートリソースの拡大や縮小はかなり簡単ですので、運用して稼働しているから満足するのではなく、定期的にリソース全体を見直すようにしましょう。

Discussion

ログインするとコメントできます