どうもIbukishです。
昨今はクラウドサービスが結構メジャーとなってきていることもあり勉強を始める方も多いのではないでしょうか?
多くのクラウドサービスには無料枠があるのでまずアカウント作成してみたって方も多いと思います。
AWSではルートアカウントを普段使いすることはセキュリティ観点から推奨されていません。
通常はIAMアカウントという普段使い用のアカウントを作成してそちらを使います。
そこで本記事ではルートアカウントを保護する方法、IAMアカウントを作成する方法紹介します。
ルートアカウントを保護する方法
まずはAWSマネジメントコンソールにログインして、IAMを開きます。
開いたら下図のような画面になると思います。自分はまだ何も設定をしていないため、セキュリティステータスが5分の1しか完了していません。こちらを上から順番に消化していきましょう。
まずはルートアカウントのMFAを有効化します。
ルートアカウントのMFAを有効化する方法
まず、 [ルートアカウントのMFAを有効化] > [MFAの管理] をクリックします。
ページが遷移したら [多要素認証] > [MFAの有効化] を選択します。
有効化をクリックしたら、モーダル形式でデバイスの選択画面が表示されます。
[仮想MFAデバイス] を選択します。
するとQRの画面が表示されるのでQRを表示して認証アプリで読み込みます。
認証アプリはGoogle Authenticatorおすすめします。
スマホでアプリを起動して [BEGIN SETTING] > [Scan barcode] を順番に選択します。
するとカメラが起動すると思うので、先程表示したAWSでのQRコードを読み込みます。
バーコードをスキャンすると6桁の数字が表示されると思います。
表示された数字をAWSの画面の [MFAコード1] に入力します。
入力が終わったら次の数字に切り替わるまでしばらく待ちます。
下図の赤枠の部分が徐々に減っていると思います。これは数字が切り替わるまでの残り時間を表しています。
数字が切り替わったら [MFAコード2] に表示されている数字を入力します。
入力が出来たら [MFAの割り当て] をクリックします。
割り当てに成功したら下図のような表示がされると思います。
セキュリティ認証情報の画面を確認するとシリアル番号が表示されていると思います。
これでルートアカウントのMFA設定が終了しました。
次は個別のIAMユーザーの作成とグループを使用したアクセス許可の割り当てです。
個別のIAMユーザーを作成する方法
ここではIAMユーザーの作成とグループを使用したアクセス許可の割り当てを同時に実施します。
まずはIAMのダッシュボードに移動します。
ユーザーの管理を選択して画面が遷移したら [ユーザーを追加] を選択します。
ユーザー詳細の設定画面に遷移すると思うので、必須項目を入力していきます。
必須項目は以下ですね。
- ユーザー名
- 任意で問題ありません。自分は権限強めのユーザーを作成しようとおもったのでAdminと後ろに付けておきました。
- アクセスの種類
- 今のルートアカウントの代わりになるユーザーですので、AWS マネジメントコンソールへのアクセスを選択しています。
- コンソールのパスワード
- 後でパスワードリセットするので自動生成にしています。
必須項目を入力したら [次のステップ] を選択します。
続いてアクセス許可設定です。
今回は新規でユーザーグループを作成してセッティングをしようと思います。
任意のグループ名を設定して、AdministratorAccessにチェックを入れ、 [グループの作成] を選択します。
無事にグループが作成できると下図のように先程作成したグループが表示されていると思います。
作成できたら [次のステップ] を選択します。
続いてはタグの設定ですが、今回は特に実施しません。
そのまま [次のステップ:確認] を選択します。
設定内容に誤りが無いことを確認したたら [ユーザーの作成] を選択します。
画面下の [閉じる] を選択するとユーザー追加の画面に遷移すると思います。
IAMユーザーでもルートアカウント同様にMFAの設定を行います。
先程作成したユーザーのユーザー名を選択します。
ユーザー名を選択すると概要画面に遷移すると思うで、 [認証情報] のタブを選択し、 [MFAデバイスの割り当て] の [管理] を選択します。
後はルートアカウントに設定した時と同じように、 [仮想MFAデバイス] を選択してGoogle Authenticatorを使ってQRコードを読み取り表示されている番号を入力します。
新しく追加する場合は画面右上の+マークを選択し、 [Scan barcode] を選択します。
また、複数個のコードが表示されている場合は各数字の下に記載されているアカウント情報をみれば、その数字がどのアカウントのものであるかを判断することが出来ます。
無事に設定が完了したら [MFAデバイスの割り当て] に情報が記載されていると思います。
これでIAMユーザーの作成とMFA割り当ての終了です。
続いてはIAMパスワードポリシーの適用です。
IAMパスワードポリシーの適用
最後はIAMパスワードポリシーの適用です。
初期のパスワードポリシーは非常に緩いので、比較的簡単に解読されてしまうようなパスワードも設定できてしまいます。
まず、IAMダッシュボードに移動します。
[IAMパスワードポリシーの適用] > [パスワードポリシーの管理] を選択します。
画面遷移したら一番上の段の [パスワードポリシー] > [パスワードポリシーを設定する] を選択します。
パスワードポリシーの設定画面に遷移したら、任意の設定を行います。
自分は比較的厳し目に設定しました。
設定が出来たら [変更の保存] を選択します。
保存するとパスワードポリシーの画面に戻ると思います。正常に設定が反映されていたら、下図のように更新された旨のメッセージと、設定内容が表示されると思います。
これでパスワードポリシーの設定が完了です。
最後にIAMのダッシュボードに戻って全部の設定が無事に完了したかを確認しましょう。
無事に全ての設定が完了しいました!
これで最低限のセキュリティの保証はできました。
いかがでしたか?無事に設定ができたでしょうか?
みなさまの安全で快適なAWS生活のためになればと思います。
コメント