AWSのルートアカウント、IAMユーザのセキュリティについて
これからAWSを始める人のために最低限知っておかないといけない知識はルートアカウントのセキュリティやIAMユーザのセキュリティです。
ルートアカウントなんて乗っ取られてしまうとなんでもできちゃいます。
ルートアカウントはMFAによる2段階認証にする
AWSは基本的に最初の1年は無料です。必要なのはクレジットカードとメールアドレスのみとなります。それだとセキュリティ上よろしくないので、ルートアカウントのMFAは必ず有効にしておきます。
前提条件:iPhoneの場合は「Google Authenticator」をインストールしておく必要があります。
IAMのダッシュボードより設定が可能です。
「MFAの管理」を押下します。
「MFAの有効化」をクリックします。
「仮想MFAデバイス」を選択して「続行」をクリックします。
iPhoneの場合ですが「Google Authenticator」アプリを使用してQRコードを読み込みます。
6桁のMFAコード1が表示されます。30秒ほどまっていると続いてMFAコード2が表示されます。入力したら「MFAの割り当て」をクリックします。
「閉じる」を押して完了です。
これで、AWSコンソールにルートでサインインする場合はメールアドレスとパスワード、さらにワンタイムパスワード(MFAコード)を入力する必要があります。「Google Authenticator」アプリにMFAコードが表示されます。
※基本的にルートアカウントは使用しないことが鉄則です
ルートアカウントのアクセスキーを削除する
IAMのダッシュボードから「ルートアクセスキーの削除」より、削除しておきます。
IAMユーザの作成とセキュリティについて
IAMユーザを作成する際にもセキュリティを考慮しないといけません。
まずはIAMユーザのパスワードポリシーを決めた方が良いです。
パスワードポリシーというのは、例えばですが
- 8文字以上
- 英数半角と記号が入っていること
- 大文字小文字が入っていること
といったようなパスワードに対する決め事です。
これは、IAMのダッシュボードから「IAM パスワードポリシーの適用」で設定することができます。
「パスワードポリシーの管理」をクリックします。
ここで設定し、パスワードポリシーを反映させます。
IAMユーザも基本的にはMFAを有効化させることをお勧めします。
IAMユーザを作成せずにIAMロールを設定する
IAMユーザは一人に1ユーザと思いますが、AWSアカウント(12桁)が別の場合は、IAMユーザを与えずにIAMロールを作成して権限をコントロールすることができます。
AWSアカウントはコンソール右上より確認することができます。
ここのアカウントをクリックしてください。
アカウントIDと記載されている12桁がアカウントIDです。
これは別のアカウントIDのIAMユーザにロールを与える方法です。クレジットカードが2枚あれば試すことができます。
KHI入社して退社。今はCONFRAGEで正社員です。関西で140-170/80~120万から受け付けております^^
得意技はJS(ES6),Java,AWSの大体のリソースです
コメントはやさしくお願いいたします^^
座右の銘は、「狭き門より入れ」「願わくは、我に七難八苦を与えたまえ」です^^
コメント