Bot運用初心者のためのAWSセキュリティ設定1(ルートアカウント設定編)

dotenkunを購入してBot運用始をはじめ、AWSを使用しはじめた方がたくさんいらっしゃると思います。過去にAWS初心者が乗っ取りや不正利用をされ、高額請求をされたというはなしはたくさんあります。

備えあれば憂いなし。そうならないための設定を書いていきます。

1. ルートアカウント

AWSに登録したときにログインできるアカウントのことです。
ルートアカウントはAWSで実行できる全てのことを実行できる権限のあるユーザーです。

裏返せばこのアカウントをのっとれば、このアカウントで運用しているビットコインbotをのっとり、不正に購入して送金したり、高額なサーバーを勝手に利用して、計算をじっこうしたり、挙句には、ウイルスやサイバー攻撃の踏み台にされたりできます。

ルートアカウントは余程でないかぎり使用せず、別IDを取得し、そちらをメインにつかいます。

2. ルートアカウントのセキュリティ対策

2.1ルートパスワードの変更

パスワードが8桁以下、推測されやすいパスワードを使用している場合は変更しましょう。
パスワードの目安として

(1)推測しにくい文字列にする
(2)数字や記号、大文字などを混ぜる
(3)パスワードを使いまわさない
(4)最低8文字以上にする

がありますが、機械が総当たりする場合は(1),(2)は効果がうすいといわれつつあります。最も効果があるのはこちらにも書かれているような、長いパスワードだそうです。ここまでしなくても、10文字以上を設定されるのが良いとおもいます。わたしは、12~16文字のランダム生成パスワードを使用しています。

2.1.1 パスワード変更方法

まず、ルートアカウントでログイン後、右側のメールアドレスをクリックしてアカウントを選びます。

アカウント設定の項目の編集をクリックします

Editをクリックしてパスワードを変更してください。

ルートパスワードの変更ができました。

2.2 ルートアクセスキーの削除

ルートアクセスキーはこれを持っていれば、何でもできる。パスワードと同等の意味をもつものです。初心者が使うことはないので、削除してしまえばOKです。なお、初期設定で作成していない方は、確認後読み飛ばして下さい。

まず、IAM(Identity and Access Management)を開きます。
開きかたは、サービスの検索欄に『IAM』と打ってでてきたものをクリックです。

IAMを開くと中央下側にセキュリティステータスが表示されています。
設定した覚えがなければ全てのチェックボックス

ルートアクセスキーの削除の項を開きセキュリティ情報の管理をクリックしま

よくわからない警告がでてきますが、セキュリティ商人情報に進むをクリックで

アクセスキーを開くと、キーある場合はキーの作成日やIDが表示されます。
右側のアクションから削除をクリックしてください。

こちらも警告がでますが、「はい」をクリックしてください。

削除が完了していると、ステータスが削除済になります。

ルートアクセスキーの削除が完了です。

2.3 ルートアカウントにMFA(多要素認証)を設定する。

万が一、パスワードが突破されても、ログインできないようにするために、MFA(多要素認証)を設定します。多要素認証では手元にあるデバイス(大体はスマホ)に専用ワンタイムパスワード生成アプリを入れ、そちらと、AWSのアカウントをひも付けを行いアプリに表示されている番号入力しないとログインできないようにします。

2.3.1 スマートフォンの設定

スマホ用のアプリではAuthyかgoogleの認証アプリがよく使われているようです。
Authy IOS
Authy android
Google 承認 IOS
Google 承認 andoroid
説明はAuthy androidでしますが、基本的にどれも使い方は一緒です。

説明に入る前に注意すべきことが一つあります。
スマホを機種変更する場合は必ず、MFAの設定を新しいスマホでやりなおすようにしてください。設定変更をせずにしておいた場合、最悪2度とログインができなくなります。(実際は別の承認でログインできるのですが、面倒ですので・・・)Authyの場合、電話番号が一緒であれば、設定含め引き継げるので、Googleよりよいようです。

Authyをインストールして立ち上げてください。
最初の入力は電話番号ですので、codeのところに国コード(81)を入力または選択し、最初のゼロを抜いた10桁の電話番号を入力

次は、入力した電話番号の承認です。
SMSまたは電話での承認となります。
今回はSMSで承認します

androidの場合SMSが届いたら、勝手に読み取って承認してくれます。
承認されると、次のような画面になります。

この画面の+を押すことで、QRコードの読み取りか、直接入力で登録ができるようになります。

2.3.2 AWSの設定

AWSでは先ほど同様IAMを開き中央付近のMFA管理をクリックします。

仮想MFAデバイスを選択し、次のステップをクリックします。

次ダイアログ、スマホアプリがいるよといっているだけなので、次のステップをクリックします。

QRコードが表示される画面なったら、スマホでAuthyを開きSCAN QRでQRコードを読取ます。

表示名等を設定し、数字6桁表示される画面になったら、OKです。
この数字は30秒から1分くらいで、次々変更されていきます。

この状態になったら、AWSにもどり、承認コード1に今表示されている数字を入力します。
しばらく待って、数字が切り替わったら、承認コード2に表示されている数字を入力し、仮想MFAの有効化をクリックします。

これで、MFAの有効化は完了するとともに、ルートアカウントに対する設定も完了です。

それでは、一度サインアウトしましょう。

3. ルートアカウントでのログイン

Emailとパスワードでログインします。

つぎにパスワードが正しければ、MFAによる承認画面がでてきます。
Authyを開き6桁数字を入力してサインインしてください。数字が正しければ、いつもの画面が表示されます。なお、記入している最中に数字が更新されたら、再度1から数字を入力しなおして下さい。

以上

次からはユーザーアカウントの作成にはいります。

いいなと思ったら応援しよう!