自己学習でAWSアカウントを取得したり、会社でクラウドの調査を任されてAWSアカウントを取得したりしている方も多いと思います。AWSアカウントを取得したらまず最初にやるべき大切な事があります。今回はその大切な事について解説します。私もASSの学習する前はやっていませんでした。
AWSアカウントの種類
最初にメールアドレスでAWSアカウントを取得すると思います。このメールアドレスで取得したAWSアカウントはルートアカウントというとても重要なアカウントです。請求などの管理の他すべてのAWSサービスを管理することができる最も権限を持ったアカウントなのです。このルートアカウントを乗っ取られてしまうと大変危険です。
AWSではIdentity and Access Management、通称IAM(
)というアカウント管理の仕組みがあります。ルートアカウントの他にIAMで作成したIAMユーザがあります。普段の作業ではルートアカウントを使用せず、適切に権限設定を行ったIAMユーザを使用します。
ルートユーザ運用のベストプラクティス
ポイントは2つです。
- ルートユーザにアクセスキーを作成しない
- ルートユーザに多要素認証 (MFA) を設定する
ルートユーザにアクセスキーを作成しない
アクセスキーとはAWS コマンドラインインターフェイス (AWS CLI) でコマンドを実行するためのアクセスキーです。ルートユーザのアクセスキーを悪意を持った人に盗まれてしまうとコマンドラインから好き勝手に操作されてしまいます。ルートユーザでアクセスキーを作成している場合は削除してIAMユーザでアクセスキーを作成しなおしましょう。
ルートユーザに多要素認証 (MFA) を設定する
多要素認証 (MFA) とユーザIDとパスワードのペアによる認証とは別にその人しか知りえない情報で認証する方法です。AWSの多要素認証 (MFA) では以下の3つが使用できます。
- 認証アプリ
- セキュリティーキー
- ハードウェアトークン
認証アプリ
スマホにインストールした認証アプリを使用する方法です。Twilio Authy Authenticator、Duo Mobile、Microsoft Authenticator、Google Authenticator、Symantec VIPなどを使用することができます。私はGoogle Authenticatorを使用しました。
セキュリティーキー
認証情報が組み込まれたUSBメモリなどのセキュリティーキーを使用する方法です。
ハードウェアトークン
タイムベースドワンタイムパスワード (TOTP) のパスワードを生成するハードウェアデバイスを使用する方法です。
ルートユーザにMFAを設定する方法
MFAを設定する方法は以下の通りです。
ルートユーザーでログインします。
作業用のIAMユーザを作成する方法
続いて作業用のIAMユーザを作成します。IAMユーザーを作成する方法は以下の通りです。
- アクセス管理のユーザからユーザ作成をクリックしてください。
IAMユーザーを作成しただけではAWSコンソールを使用できません。続いてAWSコンソールを使えるように設定します。手順は以下の通りです。
- ユーザー詳細を表示して、コンソールアクセスを有効にするをクリックしてください。
IAMユーザーにもMFAを設定しておくのが安全です。MFAの設定はルートユーザーと同様です。
さいごに
いかがだったでしょうか? AWSアカウントを作成した一番最初にやるべきルートユーザーの保護について解説しました。ルートユーザーが漏洩してしまうと一大事です。ベストプラクティスとしてはルートユーザーを保護して必要な時以外は使わないようにすることです。
しかし、私もAWSアカウントを作成した当初はベストプラクティスを知らずにやっていませんでした。特に業務でルートユーザーを使用している人は面倒だと思ってもしっかりやっておきましょう。私はセキュリティを確保するには面倒にする必要があると教えられました。MFAは確かに面倒なのでセキュリティは確実に向上しています!
コメント