本記事は、下記 Hands-on を元にしています。
AWS Hands-on for Beginners
Security #1 アカウント作成後すぐやるセキュリティ対策
参考
「03_IDアクセス権管理 (1)」:2-1、2-2、2-3
「04_IDアクセス権管理 (2)」:2-4
ルートユーザーのセキュリティ対策として
下記4つを行っていきます
2-1. MFA の設定
2-2. アクセスキーの削除
2-3. パスワードポリシーの設定
2-4. 請求情報へのアクセス設定
※ルートユーザーでサインインしている状態から
下記、進めていきます。
IAM 画面表示
- 上部の検索入力欄に「iam」と入力する
- 検索結果の「IAM」をクリック
MFA とは
Multi-Factor Authentication の略で多要素検証の意味。
AWSへのサインイン時に、アカウントとパスワードによる認証に加え、
携帯電話等のデバイスから発行される6桁の数字(ワンタイムパスワード)の
入力を要求して、より高いセキュリティを実現するもの
IAM ダッシュボード
- 「MFAを追加」ボタン押下
MFA の有効化
- 「MFAの有効化」ボタン押下
MFA デバイスを選択
- 「続行」ボタン押下
※ここでは「仮想MFAデバイス」で進めます
仮想 MFA デバイスの設定
- 「互換性のあるアプリケーションのリスト」リンクをクリック
※Android、iPhone で対応している仮想MFAアプリを確認できる
仮想 MFA アプリのインストール
- 表示したページの真ん中あたりにAndroid、iPhone別に対応している仮想MFAアプリが表示されています
- 既に利用しているアプリがあれば、そのアプリを使用できます
- 利用しているアプリがなければ、いずれかを携帯デバイス(Android・iPhone)にインストールします
QR コード表示
- 仮想MFAデバイスの設定画面に戻り「QRコードの表示」をクリック
携帯デバイスの仮想 MFA アプリとの連携
- QRコードを携帯にインストールしている仮想MFAアプリで読み取る
- 表示されているMFAコードを「MFAコード1」に入力
- 時間により変わったMFAコードを「MFAコード2」に入力
- 「MFAの割り当て」ボタン押下
仮想 MFA デバイス設定完了
- 「閉じる」ボタン押下
仮想 MFA が登録されていることを確認
- MFAが登録されたことを確認
IAM ダッシュボードの確認
- IAM ダッシュボードを表示し、「rootユーザーはMFAが設定されている」のアイコンが緑色になっていることを確認
セキュリティ認証情報画面でアクセスキーを確認
- アクセスキーは設定がないことを確認
※デフォルトでは、アクセスキーは1つもない状態(設定がない状態)です
- ルートユーザーのアクセスキーは権限が強すぎるため、権限を制限したIAMユーザーで作成することが推奨されています
- ルートユーザーのアクセスキーが表示されている場合、使用しているか確認を行ってから別途、IAMユーザーで作成したものに置き換えを検討した方がよいでしょう
パスワードポリシー画面表示
- 左メニュー「アカウント設定」をクリック
パスワードポリシー変更
- 「パスワードポリシーを変更する」ボタン押下
パスワードポリシーを設定
- 必要に応じて任意に設定を行い、「変更の保存」ボタン押下
※上図の内容は例です。プロジェクトの規定に合わせる等、適宜変更して下さい。
パスワードポリシー設定完了
- パスワードポリシーの設定完了
ルートユーザーを極力使用しないようにするため、IAMユーザー/ロールに請求情報へのアクセスを許可する設定を行います。
アカウント設定
- 右上のルートユーザーのプルダウンをクリック
- 「アカウント」をクリック
“IAMユーザー/ロールによる請求情報へのアクセス”の編集
- “IAMユーザー/ロールによる請求情報へのアクセス” 右横の「編集」をクリック
IAM アクセスのアクティブ化
- 「IAMアクセスのアクティブ化」にチェックを付ける
- 「更新」ボタン押下
アクティブ化の確認
- 「IAMユーザー/ロールによる請求情報へのアクセスは有効になっています。」に表示が変わります
