AWSハンズオンやってみた①～アカウント作成後すぐやるセキュリティ対策～

はじめに

・自己紹介：日系Sier企業で働いています。先日AWS SAA取得。実務経験なくはないですが、少ないのでハンズオンで知識を深堀して次の資格取得につなげたい。
・こちらの記事は、あくまで筆者が後で見返すための備忘（ノート代わり）です。

今回はこちらのハンズオンを実施

AWS Hands-on for Beginners Security #1 アカウント作成後すぐやるセキュリティ対策 | AWS Webinar

１．AWSのセキュリティ

・AWSのセキュリティコンプライアンスについては下記サイトに記載。
・AWSは責任共有モデルを採用しており、コンポーネントごとにどちらが責任を持つべきかを定めている。

AWS クラウドコンプライアンス | AWS

責任共有モデル

２．ログイン後に実施すること

2-1.AWSアカウントの制御

　①MFA有効化

MFA（2段階認証）による不正アクセス対策を有効化する。

IAMサービスを開く

「MFAを追加」を選択

適当なデバイス名を入力。このつけ方はちょっと違ったかも。

・次の画面でバーコードが表示されるため、「Google Authenticator」で読み取って設定完了。

　②不要なアクセスキーを削除

不正アクセス対策のために、アクセスキーを削除する

・AWS上のユーザにはアクセスキーが割り当てられている
・アクセスキーはCLIなどコマンド実行時に利用し、漏洩すると危険なため、使用しない場合は削除が推奨される。

デフォルトでは作成されていないため、アクセスキーが無ければOK

　③パスワードポリシー設定

パスワードポリシーを設定してセキュリティを強固にする！

・IAMユーザのパスワードポリシーを設定する

アカウント設定画面で「編集」をクリック

ポリシーを設定して「変更を保存」

　④IAMグループ・ユーザ作成

・IAMグループ、ユーザを作成する。
・グループにポリシーを設定し、グループにユーザを追加することで、簡単に権限を管理することが出来る

・IAMグループはユーザ、IAMロールはリソースに割り当てる。

Amazon AWSのIAMのPolicy、Roleの理解 - Qiita

「グループを作成」

グループ名をつける

初めから用意されているポリシー。今回はAdministrator関連のポリシーがついたポリシーセット。

グループ作成完了

続いてユーザ作成

先ほど作成したグループを指定

作成された。

作成したユーザでもMFA有効化。

請求情報へアクセスできるようにする。

ユーザが作成された。「コンソールへのアクセスを有効にする」をクリック。

「コンソールを通じたアクセス」を有効化し、パスワードを自動生成

作成したユーザでログイン

2-2. 請求関連

予算を設定して、予想外の請求が来ないようにする！

確認するもの
　①Cost Explorer：設定は不要。コストの一覧を見やすく表示してくれる
　①予算：予算と、一定額を超えた場合の通知先を設定する→メール通知
　②予算レポート：予算のレポートを出力する→メール通知
　③Cost ＆ Usage Report：コストの詳細なレポートを出力する→S3に保存

　①Cost Explorer

これは特段の設定は不要。
日別、サービスごとにどんなサービスにコストがかかったかを視覚的に分かりやすく表示してくれる。

　②予算

・予算は２つまで無料で作成可能

「Budgets」を選択

予算を作成

デフォルトで設定。

通知先設定

設定完了

　③予算レポート

・レポート１つにつき0.01USD

作成完了！

ちゃんとメール来てた

　④Cost & usage reportの設定

コストの詳細レポートを設定する！
S3に詳細レポートを出力するように設定する。

S3バケットを新規作成

後日見ると、バケットに詳細なログが格納されている

2-3. ログとモニタリング

①Cloud Trail：行動履歴ログを記録し、保持することが可能
②AWS Config：構成変更履歴を記録

　①Cloud Trail

デフォルトで90日分は取られている

証跡を作成することで、S3にログを記録できる

数日後見たら、ログが格納されていた。

　②変更履歴の記録

・リソースの変更履歴、構成情報を管理・監視することが可能

数日したら変更履歴が表示されており、タイムラインで確認が出来た。

2-4． 脅威検知

①GuardDuty：VPCフローログ、DNSクエリ、Cloud Trailログの監視、分析

　①GuardDuty

分かりやすい資料があったのでメモ

https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Guard_Duty.pdf

有効化するだけで設定完了

検出結果サンプルを生成すると、全150件以上のサンプルが生成される

サンプルからどんなもんか確認可能

2-5．ベストプラクティスの確認

　①AWS Trusted Advisor

・コスト、セキュリティ等のベストプラクティスを確認できる。
・項目はサポートプランにより異なる

AWS Trusted Advisor

ここまで手厚いと、抜け出しにくくなるな。AWS…

３．まとめ

セキュリティ、コスト、監視について基本的な機能を抑えることができました。とりあえず１発目として良いハンズオンでした。

最後に作成した設定をすべて削除して完了。