AWSアカウントを作成した後の初期設定をしていきます
参考程度にしていただき、ご自身のPJに合わせて設定してみてください
【必須】AWSアカウントのMFA有効化
AWSでのあらゆる操作が可能であるAWSアカウント。
Email/PWだけでそれにログイン出来てしまうとセキュリティ的によくありません。
なので、多要素認証(MFA)を設定していきます。
Google Authenticatorを使用する手順は↓をご参考ください
アカウントエイリアス設定
AWSにログインする際に12ケタのアカウントIDが必要になります。
ただ、12ケタの数字は覚えづらく使いにくいです。
なので、アカウントエイリアス(任意の文字列)を設定します。
アカウントIDの代わりにログインする際に使用できます。
設定方法はIAM ダッシュボードへ行き、アカウントエイリアスの「作成」をクリックします
表示されたダイアログに文字列を入力し「エイリアスを作成」をクリックします
設定したエイリアスがIAM ダッシュボードに表示されればOKです。
次回以降のログイン時に使ってみてください!
【必須】クレデンシャル削除
AWSアカウントのクレデンシャルを使用するとなんでもできてしまいます
IAMユーザーを使用するため、AWSアカウントのクレデンシャルは不要です
おそらくクレデンシャルは作成されていないと思いますが、確認してみてください
もしあれば、削除しましょう!
【必須】IAMパスワードポリシー修正
初期のパスワードポリシーは強度が低いため、脆弱性につながります。
なので、強固なポリシーへ変更しセキュリティを向上させます
IAMダッシュボード > アカウント設定へ遷移し、パスワードポリシーを編集します
「カスタム」を選択し、要件に合わせて文字数の指定やチェックを入れていきます
「変更を保存」をクリックし、設定を完了します
IAMユーザの請求情報へのアクセス許可
デフォルトではAWSアカウントのみが請求情報を閲覧できます。
ただ、IAMユーザーを使用する機会が多いと思うので、IAMユーザーで請求情報を見たいです。
AWSアカウントでログインして右上のアカウント名をクリックし、
「アカウント」をクリックします
遷移先で「IAM ユーザーおよびロールによる請求情報へのアクセス」を編集し有効化します
下記を参考に必要な権限を付与したIAMユーザーで請求情報を閲覧できます
請求コンソール (Billing) の設定
- PDF 請求書を E メールで受け取る
- AWS 無料利用枠アラート
上記のどちらかを受け取りたときに設定します
AWS Billing > 請求設定 に遷移し必要な通知を有効化していきます
AWS Budgets による予算超過通知設定
クラウドは従量課金制のため、気づかないうちに高額なコストになってしまうのが怖いです
なので、予算額を超えたらメールが来るように設定します
AWS Budgets へ遷移し、「予算の作成」をクリックします
予算の設定は「テンプレートを使用」します
テンプレートは「月次コスト予算」を選択します
「予算額」と「Eメールの受信者」を記載し、「予算を作成」します
設定が完了すると、AWSからメールが届きます
メールのほかにもChatBotを使用できたりもするのでいろいろ試してみてください
マネジメントコンソールサインインの IP アドレス制限
IP制限をしておくと、もしIAMユーザーが流出した場合にも備えられます
(まず、認証情報を流出させてはいけないという前提です)
こちらを参考に下記IAMポリシーを作成し、それをIAMユーザーにアタッチします
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "***.***.***.***/32" ] }, "Bool": {"aws:ViaAWSService": "false"} } } } |
【必須】Admin用IAMユーザ作成
下記を参考にIAMユーザーを作成します
先ほど作成したIP制限用のIAMポリシーをAdminグループにアタッチしておくと、
セキュリティが向上します
CloudTrail有効化
デフォルトで90日間のイベント履歴を無料で閲覧できます。
CloudTrail InsightsやLake、S3へのログの保存は有料(無料利用枠あり)となります
CloudTrailへ遷移し、「証跡の作成」をクリックします
「証跡の作成」をクリックします
Config有効化
AWSリソースの情報を管理するサービスです。
リソースの変更履歴を追うことができ、障害が発生した際の原因調査に役立ちます
有料となります
GuardDuty有効化&通知設定
AWS環境を監視し、悪意のあるアクティビティや不正な動作を検知するサービス。
有料となります。
GuardDutyに遷移し、「今すぐ始める」をクリックします
「GuardDutyを有効にする」をクリックします
デフォルト VPC の削除
各リージョンに1つずつVPCが作成されています。
自身でVPCを作成する場合にはデフォルトVPCは不要になります。
また、使用しないリージョンにおいても不要のため削除しておきます。
削除方法は↓を参考にしてみてください
Amazon EC2 (EBS) のデフォルト暗号化設定
リージョン単位の設定になります。
こちらを参考に設定していきます。
設定したいリージョンでEC2 コンソールを開きます。
アカウント属性 > Data protection and security をクリックします
EBS暗号化の「管理」をクリックします
有効化にチェックを入れて、「EBS暗号化を更新する」をクリックします
Amazon S3 のブロックパブリックアクセス設定
インターネットからS3にアクセスできないようにブロックパブリックアクセス設定があります。
バケット単位で設定できるのですが、アカウント単位でも設定することができます。
基本的にインターネットからS3へのアクセスは許可しないので、設定しておきましょう!
こちらを参考に設定していきます
S3のコンソールにアクセスし、
「このアカウントのブロックパブリックアクセス設定」->「編集」をクリックします
要件に合わせてチェックを入れ、「変更の保存」をクリックします
参考
コメント