AWSハンズオンやってみた①~アカウント作成後すぐやるセキュリティ対策~
はじめに
・自己紹介:日系Sier企業で働いています。先日AWS SAA取得。実務経験なくはないですが、少ないのでハンズオンで知識を深堀して次の資格取得につなげたい。
・こちらの記事は、あくまで筆者が後で見返すための備忘(ノート代わり)です。
今回はこちらのハンズオンを実施
1.AWSのセキュリティ
・AWSのセキュリティコンプライアンスについては下記サイトに記載。
・AWSは責任共有モデルを採用しており、コンポーネントごとにどちらが責任を持つべきかを定めている。
![](https://assets.st-note.com/img/1696339690199-D0VL2OmBi2.png?width=1200)
2.ログイン後に実施すること
2-1.AWSアカウントの制御
①MFA有効化
MFA(2段階認証)による不正アクセス対策を有効化する。
![](https://assets.st-note.com/img/1696340402773-dVJLnl9frY.png?width=1200)
![](https://assets.st-note.com/img/1696339830463-pDDq07SHyT.png?width=1200)
![](https://assets.st-note.com/img/1696339869830-QtFpGKJbLm.png?width=1200)
・次の画面でバーコードが表示されるため、「Google Authenticator」で読み取って設定完了。
②不要なアクセスキーを削除
不正アクセス対策のために、アクセスキーを削除する
・AWS上のユーザにはアクセスキーが割り当てられている
・アクセスキーはCLIなどコマンド実行時に利用し、漏洩すると危険なため、使用しない場合は削除が推奨される。
![](https://assets.st-note.com/img/1696340049904-i73Avnkw1E.png?width=1200)
③パスワードポリシー設定
パスワードポリシーを設定してセキュリティを強固にする!
・IAMユーザのパスワードポリシーを設定する
![](https://assets.st-note.com/img/1696429861971-0lBlhpFN3J.png?width=1200)
![](https://assets.st-note.com/img/1696340141764-2lZQhKXEW8.png?width=1200)
④IAMグループ・ユーザ作成
・IAMグループ、ユーザを作成する。
・グループにポリシーを設定し、グループにユーザを追加することで、簡単に権限を管理することが出来る
![](https://assets.st-note.com/img/1696430088819-7LVBWW2ora.png)
・IAMグループはユーザ、IAMロールはリソースに割り当てる。
![](https://assets.st-note.com/img/1696340706363-RZkUMZMqYc.png?width=1200)
![](https://assets.st-note.com/img/1696340760405-gdhBMh5RB4.png?width=1200)
![](https://assets.st-note.com/img/1696340816749-m4HWXIbpyV.png?width=1200)
![](https://assets.st-note.com/img/1696340842459-pYLe7UNusY.png?width=1200)
![](https://assets.st-note.com/img/1696340860932-Ntnw8Wo9m5.png?width=1200)
![](https://assets.st-note.com/img/1696341114838-3aIIMdewmi.png?width=1200)
![](https://assets.st-note.com/img/1696340940761-4Wk4FKXvaq.png?width=1200)
![](https://assets.st-note.com/img/1696341144813-hpsqMDNdmV.png?width=1200)
![](https://assets.st-note.com/img/1696341159848-OSuPViZmek.png?width=1200)
![](https://assets.st-note.com/img/1696688108155-wOxWG0y3CC.png?width=1200)
![](https://assets.st-note.com/img/1696341403984-JONJIU543o.png?width=1200)
![](https://assets.st-note.com/img/1696341422451-UiF0d59uUf.png?width=1200)
![](https://assets.st-note.com/img/1696688183452-EldltBm9ru.png?width=1200)
![](https://assets.st-note.com/img/1696341889293-vl9fi0Mfjz.png?width=1200)
![](https://assets.st-note.com/img/1696342001571-HwxrgmjfDR.png?width=1200)
2-2. 請求関連
予算を設定して、予想外の請求が来ないようにする!
確認するもの
①Cost Explorer:設定は不要。コストの一覧を見やすく表示してくれる
①予算:予算と、一定額を超えた場合の通知先を設定する→メール通知
②予算レポート:予算のレポートを出力する→メール通知
③Cost & Usage Report:コストの詳細なレポートを出力する→S3に保存
①Cost Explorer
これは特段の設定は不要。
日別、サービスごとにどんなサービスにコストがかかったかを視覚的に分かりやすく表示してくれる。
![](https://assets.st-note.com/img/1696641519817-4oWRBD0mJH.png?width=1200)
②予算
・予算は2つまで無料で作成可能
![](https://assets.st-note.com/img/1696344514743-c8WaFQ530O.png?width=1200)
![](https://assets.st-note.com/img/1696344570050-dZhSfRsR5J.png?width=1200)
![](https://assets.st-note.com/img/1696344620620-hSgCH4KoNA.png?width=1200)
![](https://assets.st-note.com/img/1696344717154-N2ErrFIwZi.png?width=1200)
![](https://assets.st-note.com/img/1696344846833-HBMOO51LLz.png?width=1200)
③予算レポート
・レポート1つにつき0.01USD
![](https://assets.st-note.com/img/1696344984860-uTENncdrUO.png?width=1200)
![](https://assets.st-note.com/img/1696345045960-olu7X2XM3Z.png?width=1200)
![](https://assets.st-note.com/img/1696605562150-Zdx1HhNzms.png?width=1200)
![](https://assets.st-note.com/img/1696606651895-68VxBWPklX.png?width=1200)
④Cost & usage reportの設定
コストの詳細レポートを設定する!
S3に詳細レポートを出力するように設定する。
![](https://assets.st-note.com/img/1696345180585-Ykfoy7Lffp.png?width=1200)
![](https://assets.st-note.com/img/1696345240284-UYG220JbWv.png?width=1200)
![](https://assets.st-note.com/img/1696345260791-HnbbMP1IiZ.png?width=1200)
![](https://assets.st-note.com/img/1696345297662-i2MjO8sjRo.png?width=1200)
![](https://assets.st-note.com/img/1696345357839-5pi5wsYzPO.png?width=1200)
![](https://assets.st-note.com/img/1696423436614-iF6sZOHOhs.png?width=1200)
![](https://assets.st-note.com/img/1696423456067-nr7q07rErE.png?width=1200)
![](https://assets.st-note.com/img/1696423591097-lsy5XEDhT7.png?width=1200)
![](https://assets.st-note.com/img/1696423605278-e65M0P3gU6.png?width=1200)
![](https://assets.st-note.com/img/1696423630665-UePIn3Is1w.png?width=1200)
![](https://assets.st-note.com/img/1696642565863-MnIYIOKt2Y.png?width=1200)
2-3. ログとモニタリング
①Cloud Trail:行動履歴ログを記録し、保持することが可能
②AWS Config:構成変更履歴を記録
①Cloud Trail
![](https://assets.st-note.com/img/1696425870464-thvhxC5Byr.png?width=1200)
![](https://assets.st-note.com/img/1696426035468-Vwp58tAbvn.png?width=1200)
![](https://assets.st-note.com/img/1696688289608-DlunKt0xLK.png?width=1200)
![](https://assets.st-note.com/img/1696688319062-ZJA9C0fjaC.png?width=1200)
![](https://assets.st-note.com/img/1696688346094-kP5a1gJnCo.png?width=1200)
![](https://assets.st-note.com/img/1696426211118-dPJmzqRsZ2.png?width=1200)
![](https://assets.st-note.com/img/1696426389920-QsJh96slTB.png?width=1200)
![](https://assets.st-note.com/img/1696643169123-TmszQx3fkR.png?width=1200)
②変更履歴の記録
・リソースの変更履歴、構成情報を管理・監視することが可能
![](https://assets.st-note.com/img/1696426507457-pp8hPShCqj.png?width=1200)
![](https://assets.st-note.com/img/1696426540490-ZgQLq3TB38.png?width=1200)
![](https://assets.st-note.com/img/1696426578142-DPz8wHEiV0.png?width=1200)
![](https://assets.st-note.com/img/1696688387945-cGJ0x4pMiy.png?width=1200)
![](https://assets.st-note.com/img/1696426661039-hT7C86JPz2.png?width=1200)
![](https://assets.st-note.com/img/1696426645444-g3IMZy44Y6.png?width=1200)
![](https://assets.st-note.com/img/1696426682889-YQZLOQnhhO.png?width=1200)
![](https://assets.st-note.com/img/1696643465428-vc5IiazD75.png?width=1200)
2-4. 脅威検知
①GuardDuty:VPCフローログ、DNSクエリ、Cloud Trailログの監視、分析
①GuardDuty
分かりやすい資料があったのでメモ
https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Guard_Duty.pdf
![](https://assets.st-note.com/img/1696643817382-QInoGNWoAo.png?width=1200)
![](https://assets.st-note.com/img/1696643918115-t5Qs7C0H21.png?width=1200)
![](https://assets.st-note.com/img/1696644065345-e4iDdyeFct.png?width=1200)
![](https://assets.st-note.com/img/1696644093924-rZUiiMhNi7.png?width=1200)
2-5.ベストプラクティスの確認
①AWS Trusted Advisor
・コスト、セキュリティ等のベストプラクティスを確認できる。
・項目はサポートプランにより異なる
![](https://assets.st-note.com/img/1696645684923-WliVqVHoyA.png?width=1200)
3.まとめ
セキュリティ、コスト、監視について基本的な機能を抑えることができました。とりあえず1発目として良いハンズオンでした。
最後に作成した設定をすべて削除して完了。