AWS|アカウント作成と初期設定
1.icon基本情報の入力
2.icon連絡先情報の入力
3.icon支払い情報の入力
4.iconアカウント認証
5.iconサポートプランの選択
memo.icon必要なもの:メールアドレス/電話番号/クレジットカード
b.icon管理IAMユーザーの作成
1.iconルードユーザーでログイン
2.icon管理IAMユーザーの作成
3.iconアカウントエイリアスの設定
c.icon不正乗っ取り防止
1.iconルートユーザーの多要素認証(MFA)に有効化 サインイン情報が漏洩し、アカウントが削除されたり、意図しない課金が発生するリスクをヘッジするために、ルートアカウントにMFAを設定する
2.iconルートユーザーのアクセスキーの削除
3.iconIAMパスワードポリシーの適用
IAMユーザーを作成した際に設定するパスワードの要件や、ローテーションの期間を設定する
AWSアカウントを利用するユーザーがパスワードを決める際に、最低限の強度を設定することができる
4.iconIAMグループ/ユーザーの作成とMFAの設定
AWSアカウント直後はルートユーザーという強い権限を持ったユーザーのみ存在する状態
強い権限を持つため、意図しない変更をしてしまう恐れがあり、日常的に使用するには危険
そこで、日常的に使用するIAMユーザーを作成し、適切な権限を割り当てることで、誤った変更ができないようにする
d.icon高額請求リスクヘッジ
1.icon請求のアラート
予算に対して一定額以上の利用が発生した場合にアラートを飛ばす
rootユーザーにて、IAM ユーザーおよびロールが請求情報へアクセスできるように有効化する
AWS Budgetsを使った請求アラート
AWS Cost Explorerの有効化と確認
AWS Cost&Usage Reportの設定
コストと使用状況を分析
2.iconコストの可視化
e.iconセキュリティモニタリング(脅威検知)
1.iconログとモニタリング
イベントの保存が過去90日間になるため、証跡の作成を行いS3に保存する
S3バケット確認
3.icon脅威検知
Amazon Guard Duty
悪意あるスキャン
ポートスキャン
総当たり攻撃
インスタンスへの脅威
C&Cサーバとの通信
アウトバウンドDDoS
アカウントへの脅威
不正なAPI呼び出し
予期しないリソースアクセス
やること
Amazon GuardDutyの有効化
Amazon Guard Dutyを有効化し、結果サンプルから、脅威の確認ができる
f.iconベストプラテクィス
コスト最適化
パフォーマンス
セキュリティ
フォールトトレランス
サービス制限
参考資料
関連サービス
✅MFAの確認(root/admin)
責任共有モデル
各レイヤーにおける対策
⬜ルートユーザーでしかできないこと
⬜各種設定に関する詳細情報追記
⬜検知可能な脅威
チェックポイント
⬜アカウントの作成
⬜ルートへのMFA設定
⬜管理IAMグループ/ユーザーの作成
⬜管理IAMユーザーへのMFA設定
⬜請求アラートの設定