AWSアカウント作成時に行うべきこと(前編) 1/4

0410

Amazon Web Services (以下AWS)の利用開始時に行うべき設定作業を解説します。AWSの利用開始とは、AWSアカウントの開設を意味しますが、より安全に利用するため、AWSアカウント開設直後に行うべき設定がいくつかあります。この連載ではその設定内容を説明します。


ITSデザイン事業部 課長代理 システムエンジニア 上野史瑛

はじめに

AWS Organizationsを使用することで、複数のアカウントに自動的にこのような初期設定を行うことも可能ですが、この連載では新規で1アカウントを作成した場合を前提とします。複数アカウントの場合も、基本的な考え方は同じになります。

設定作業は全16種類あり、作業内容の難易度や必要性に応じて以下3つに分類しています。 少なくともMUSTの作業については必ず実施するようにしましょう。

MUST :アカウント開設後に必ず実施すべき作業

SHOULD :設定内容の検討または利用方法を決定のうえ、可能な限り実施すべき作業

BETTER :AWSの知識がある方が行う場合やセキュリティ要件の高いアカウントで実施すべき作業

開発・検証用途のAWSアカウントの場合も、「AWSアカウントが乗っ取られて、大量のリソースを作成される」「不正利用される」といったリスクは存在するため、全てのAWSアカウントで設定を行うことが大切です。

ルートユーザの保護

ルートユーザとは、AWSアカウント作成時に設定したメールアドレスとパスワードでログインできるユーザのことを指します。全てのAWSサービスとリソースの操作が可能であり、操作した個人を特定できません。後述するIAMユーザーを作成した後は、基本的に使用しないようにするべきです。 ルートユーザを保護するために以下の設定を行います。

作業1. パスワードの設定 [ MUST ]

アカウント設定ページから、強力なパスワードをルートユーザに設定します。具体的には、8文字以上、大文字・小文字・数字・特殊文字を含む、アカウント名やEメールアドレスと関連性の少ない文字列とします。

作業2. 多要素認証(MFA)の有効化 [ MUST ]

セキュリティ認証情報のページから、ルートユーザのMFA有効化を行います。これにより、MFAデバイスを持った管理者のみがルートユーザでログイン可能となります。MFAデバイスは物理と仮想の2種類ありますが、物理デバイスの準備が難しい場合はスマートフォンアプリ等で設定可能な仮想MFAデバイスを使用します。

図1:MFA 設定画面

お問い合わせ

当社のサービス・製品に関するご相談やご質問、お見積りのご依頼など、こちらからお問い合わせください。