どうも、こうすけ(@kosuke_upd)です。
今回は、AWS(Amazon Web Services)にアカウント登録をしたら、まず最初にすべき7つのセキュリティ設定について話していく。
AWSに登録したらそのままサービスを使ってしまうという人は案外多そうだが、今後AWSを安全に使っていくためにはまず最低限しておくべきセキュリティ設定がある。
今回はそのことについて一つひとつ丁寧に説明するので、登録後にそのまま使っていた場合はぜひ参考にしながら取り組んでほしい。
設定1. ルートアカウントの二段階認証を設定
まずは1つ目の設定として、ルートアカウントに二段階認証を設定しよう。
※「ルートアカウント」とは、最も強い権限を持ったアカウントのことだ。通常、AWS内のサービスを利用する際は、ルートアカウントの他にIAMユーザーというものを作成し、そのユーザーアカウントで利用する。
AWSのアカウント作成後、管理画面上部の「サービス」内から「IAM」を選択。
「ルートアカウントのMFAを有効化」を選択。
※「MFA」とは、「Multi-Factor Authentication」の略語であり、簡単に言うと二段階認証のことだ。
そして「MFAの管理」を選択する。
「仮想MFAデバイス」にチェックを入れ、「次のステップ」を選択。
※「仮想MFAデバイス」を選択することで、ソフトウェアで二段階認証を行える。スマホアプリの「Google Authenticator (Google 認証システム)」などがそれに該当する。
「二段階認証をする際に必要となるアプリケーションをインストールしてください」といった旨のメッセージが表示される。
スマホに「Google Authenticator (Google 認証システム)」アプリをインストールして利用するのが最もおすすめなので、お使いのスマホに「Google Authenticator (Google 認証システム)」アプリをインストールしよう。
インストールが完了したら、「今後はこのダイアログボックスを表示しない。」にチェックを入れ、「次のステップ」を選択する。
次に二段階認証アカウントの登録画面が表示されるので、画面に表示されているQRコードをスマホにインストールした二段階認証アプリにて読み取る。
二段階認証アプリでは、30秒毎に認証コードが切り替わるのだが、「認証コード1」には1つ目の認証コードを、「認証コード2」には30秒後に表示される2つ目の認証コードを入力しよう。そして「仮想MFAの有効化」を選択する。
二段階認証の設定は完了したので「完了」を選択しよう。
設定2. IAMユーザーの作成
次は、IAMユーザーを作成しよう。
先程も話したように、AWSではルートアカウントという強い権限を持つアカウントと、IAMユーザーという個別に任意の権限を割り当てられるアカウントが存在する。
一般的に、AWS内のサービスを利用する際はIAMユーザーを用いて利用する。
「ユーザーの管理」を選択しよう。
「ユーザーを追加」を選択する。
ユーザーを追加する画面が開いたら、まずは「ユーザー名」を決め、入力しよう。
下にスクロールし、「アクセスの種類」「コンソールのパスワード」「パスワードのリセットが必要」をそれぞれ決める。
「アクセスの種類」では、「プログラムによるアクセス」「AWSマネジメントコンソールへのアクセス」のどちらにもチェックを入れておけば良いだろう。
「コンソールのパスワード」では「自動生成パスワード」にチェックを入れ、「パスワードのリセットが必要」にはチェックを入れておくと良いだろう。
そして「次のステップ: アクセス権限」を選択しよう。
設定3. グループを作成し、作成したユーザーにアクセス許可を割り当てる
ユーザーを追加したら、引き続きユーザーをどのグループに追加するかを選択する画面が開く。
しかしまだグループを作成していないため、まずはグループを作成しよう。「グループの作成」を選択する。
「グループ名」に任意のグループ名を入力し、作成するグループにどんな権限を持たせるかを下の部分で選択しよう。
一人でAWSを利用する場合、または複数人で一つのAWSアカウントを運用する場合、一番最初に作成するIAMユーザーには最も強い権限を持たせるだろう。その場合は、「AdministratorAccess」というポリシー名の権限にチェックを入れておくと良い。
そして「グループの作成」を選択する。
これで最も強い権限を持つグループが作成できたので、作成したIAMユーザーをそのグループに追加しよう。
作成したグループにチェックを入れ、下にスクロールする。
画面右下の「次のステップ: 確認」を選択しよう。
各項目を確認し、問題なければ「ユーザーの作成」を選択しよう。
これでIAMユーザーの作成、グループの作成、作成したIAMユーザーのグループへの追加が完了した。
引き続き、作成したIAMユーザーにてAWSにログインするので、先に「パスワード」項目の「表示」を選択して、自動生成されたログインパスワードを確認しておこう。
表示されたパスワードをメモしておき、下画像の中の上の赤枠で囲ったURLをクリックして開こう。
すると、作成したIAMユーザのログイン画面が開く。「アカウント」という部分はすでに入力されているので、作成したIAMユーザーのユーザー名、パスワードを入力し、「サインイン」を選択しよう。
作成したばかりのIAMユーザーで初めてログインする場合は、この段階でパスワードの変更を求められる。新たなパスワードを決め、次に進もう。
これでIAMユーザーでのAWSへのログインは完了だ。
設定4. IAMパスワードポリシーの適用
デフォルトではパスワードポリシーが緩いので、パスワードポリシーを変更することでIAMユーザーが設定できるパスワードを強固なものに変更しよう。
画面上部の「サービス」から「IAM」を選択する。
「IAMパスワードポリシーの適用」を選択する。
「パスワードポリシーの管理」を選択する。
IAMユーザーがパスワードを設定する際のパスワードの条件をここで決めよう。決めたら「パスワードポリシーの適用」を選択し、パスワードポリシーを更新しよう。
これでパスワードポリシーが更新された。では画面左上の「ダッシュボード」を選択しよう。
IAMのダッシュボードにて、セキュリティステータスの5つの設定が完了したことがわかるだろう。
では引き続き、ルートアカウントにて残りの設定を行っていく。この時点ではIAMユーザーにてログインしてるため、一度サインアウトしよう。
「コンソールへログイン」を選択する。
ログイン画面が表示されるが、次はルートアカウントにてサインインするため、「ルートアカウント認証情報を使用してサインイン」を選択する。
ルートアカウントのログイン画面が表示されるため、AWSにアカウントを作成したときのアカウント情報を使用してサインインしよう。
先程、二段階認証の設定を行ったのでMFAコードを求められる。MFAコードを入力して「送信」を選択しよう。
ルートアカウントでのログインに成功した。
設定5. 請求アラートの受取設定
では次は、請求アラートの受取設定をしていこう。
※「請求アラートの受取設定」とは、その月の合計利用金額が、設定した金額以上になると通知してくれるものだ。使いすぎや、不正ログインユーザーによる利用にいち早く気づくためにも設定しておくと良い。
「請求ダッシュボード」を選択しよう。
開いた画面の左にある「設定」を選択しよう。
「請求アラートを受け取る」という項目を見よう。
この項目内の「請求アラートを管理する」を選択する。
画面左の「アラーム」を選択する。
「アラームの作成」を選択する。
アラームの作成画面が開くので、どんなときにメールアラートを受信するかを設定しよう。
月の合計料金がいくら以上になったときに、どのメールアドレスにアラートを送信するかを決めておくと良い。そして「アラームの作成」を選択しよう。
設定したメールアドレス宛に、確認メールが送信される。受信したメール内の確認リンクをクリックしよう。
受信したメール内の確認リンクを開き、このような画面が開けばOKだ。
設定6. 支払通貨の設定
これは必須ではないが、支払通貨の設定を行うことで、AWSのサービス利用料を日本円で支払うように設定することも可能だ。
日本円での支払いに変更したい場合は、「アカウント」を選択してアカウント画面を開き、「お支払通貨の設定」という項目を見よう。
そして「支払い通貨のの変更」を選択する。
このような画面が表示されるので、「Accept」を選択する。
「JPY」を選択し、「更新」を選択しよう。これで支払通貨の設定は完了だ。
設定7. リージョンの設定
最後に、これも必須ではないが、リージョンの設定もしておこう。
デフォルトでは「米国東部(バージニア北部)」がリージョンとして設定されているが、基本的には「アジアパシフィック(東京)」に変更しておいたほうが都合が良いだろう。
しかし、AWS内のサービスによってはリージョンを変更しなければならない場合もあるので、その場合は他のリージョンに変更しよう。
最後に:セキュリティ意識は高く持とう
今回はAWSにアカウント登録したらまず最初にやるべき7つのセキュリティ設定について話した。無事にできただろうか。
WEBサービスやアプリなどを開発していく上で、また普段それらを利用する上で、セキュリティに対する意識は常に高く持っておこう。セキュリティ意識が低いと大きな問題に繋がりかねないからだ。
では、AWSでのセキュリティ設定が完了したら、AWS内のサービスをガンガン利用していこう。
\ 記事が良かったらシェア! /
