AWSのルートアカウント、IAMユーザのセキュリティについて

AWSのルートアカウント、IAMユーザのセキュリティについて

これからAWSを始める人のために最低限知っておかないといけない知識はルートアカウントのセキュリティやIAMユーザのセキュリティです。

ルートアカウントなんて乗っ取られてしまうとなんでもできちゃいます。

ルートアカウントはMFAによる2段階認証にする

AWSは基本的に最初の1年は無料です。必要なのはクレジットカードとメールアドレスのみとなります。それだとセキュリティ上よろしくないので、ルートアカウントのMFAは必ず有効にしておきます。

前提条件:iPhoneの場合は「Google Authenticator」をインストールしておく必要があります。

IAMのダッシュボードより設定が可能です。

AWSのルートアカウント、IAMユーザのセキュリティについて

「MFAの管理」を押下します。

AWSのルートアカウント、IAMユーザのセキュリティについて

「MFAの有効化」をクリックします。

AWSのルートアカウント、IAMユーザのセキュリティについて

「仮想MFAデバイス」を選択して「続行」をクリックします。

AWSのルートアカウント、IAMユーザのセキュリティについて

iPhoneの場合ですが「Google Authenticator」アプリを使用してQRコードを読み込みます。

6桁のMFAコード1が表示されます。30秒ほどまっていると続いてMFAコード2が表示されます。入力したら「MFAの割り当て」をクリックします。

AWSのルートアカウント、IAMユーザのセキュリティについて

「閉じる」を押して完了です。

これで、AWSコンソールにルートでサインインする場合はメールアドレスとパスワード、さらにワンタイムパスワード(MFAコード)を入力する必要があります。「Google Authenticator」アプリにMFAコードが表示されます。

※基本的にルートアカウントは使用しないことが鉄則です

ルートアカウントのアクセスキーを削除する

IAMのダッシュボードから「ルートアクセスキーの削除」より、削除しておきます。

IAMユーザの作成とセキュリティについて

IAMユーザを作成する際にもセキュリティを考慮しないといけません。

まずはIAMユーザのパスワードポリシーを決めた方が良いです。

パスワードポリシーというのは、例えばですが

  • 8文字以上
  • 英数半角と記号が入っていること
  • 大文字小文字が入っていること

といったようなパスワードに対する決め事です。

これは、IAMのダッシュボードから「IAM パスワードポリシーの適用」で設定することができます。

「パスワードポリシーの管理」をクリックします。

IAM パスワードポリシーの適用

ここで設定し、パスワードポリシーを反映させます。

IAMユーザも基本的にはMFAを有効化させることをお勧めします。

IAMユーザを作成せずにIAMロールを設定する

IAMユーザは一人に1ユーザと思いますが、AWSアカウント(12桁)が別の場合は、IAMユーザを与えずにIAMロールを作成して権限をコントロールすることができます。

AWSアカウントはコンソール右上より確認することができます。

AWSのルートアカウント、IAMユーザのセキュリティについて

ここのアカウントをクリックしてください。

アカウントIDと記載されている12桁がアカウントIDです。

これは別のアカウントIDのIAMユーザにロールを与える方法です。クレジットカードが2枚あれば試すことができます。

IAMロールの作成

コメント

タイトルとURLをコピーしました