🐥

AWSアカウント登録をしたら第一に行うセキュリティ対策

2022/10/23に公開

AWSアカウント登録をしたら第一に行うセキュリティ対策

最低限行うセキュリティー対策(IAM設定)

  • ルートユーザーのMFAの有効化
    ルートユーザーでログインする際は2段階認証設定をしましょう。

  • IAMユーザーの作成
    アカウントに関する設定以外はIAMユーザーで作業しましょう。

  • IAMユーザーが請求ダッシュボード画面を見れるようにアカウント有効化
    ルートユーザーでログインし、アカウント設定画面からIAMユーザーに請求ダッシュボード画面の閲覧権限の有効化をしましょう。

  • IAMユーザーのMFAの有効化
    IAMユーザーでも2段階認証設定をしましょう。

  • パスワードポリシーの変更
    なるべく強力なパスワードポリシーの設定をしましょう。

最終的にIAMのコンソール画面のセキュリティーレコメンドがグリーンのチェックマークに変われば完了です。

その他のセキュリティー対策

  • billing alertの設定
    請求金額がある一定の金額を超えたらアラートメールを飛ばすという設定をすることが可能です。
    awsは従量課金のサービスや、無料利用枠でも時間制限があるサービスが多いです。無駄な請求を抑えるためにこの設定はしておきましょう。

  • aws cloudtrailの証跡設定
    証跡とは誰が何をしたという履歴です。例えば「hogeというIAMユーザーが2022年10月23日に東京リージョンにログインした」という履歴が見れます。
    しかしcloudtrailのコンソール画面では90日間しか証跡確認ができません。
    もしそれ以前の証跡設定を閲覧したい場合はs3にログ出力する設定をしましょう。

  • aws configでサービスの変更履歴設定(s3に出力)
    aws configではawsサービスが何をしたという履歴が確認できます。例えば「ec2が停止から起動した」とかです。

Discussion