AWS 環境の設定

入門ガイド

モジュール 2: AWS アカウントの保護

このモジュールでは、AWS アカウントを保護するためのベストプラクティスについて学びます。

はじめに

新しい AWS アカウントを設定する際には、ルートユーザーを保護し、アカウントにログインする追加の AWS IAM ユーザーを作成する必要があります。ルートユーザーは、アカウントにフルアクセスできる特別なアカウントであり、支払い方法の変更やアカウントの閉鎖など、すべてのアクションを実行できます。このため、2 要素認証でルートユーザーを保護し、ログインする追加の IAM ユーザーを設定することをお勧めします。このモジュールでは、ルートユーザーの保護およびIAM ユーザーの設定について説明します。

学習内容

  • ルートユーザーアカウントを保護する方法
  • 追加の IAM ユーザーの設定

 所要時間

5 分

 モジュールの要件

  • インターネットブラウザ

実装

ルートユーザーの保護

新しく作成した AWS アカウントにログインしたら、ページの上部中央にある検索ボックスに IAM と入力して、[IAM] をクリックします。「セキュリティアラート」の下に、多要素認証 (MFA) でルートユーザーを保護するためのプロンプトが表示されます。次の画面で [MFA を有効にする] をクリックしてから、 [MFA をアクティブ化する] をクリックします。

gsg_secure_step_1

次に、利用可能な MFA オプションから選択する必要があります。オプションの概要を確認するには、多要素認証ガイドをお読みください。どのオプションを選ぶべきかわからない場合は、仮想MFA デバイスを選択して、お使いの携帯電話で利用できるアプリケーションの 1 つをインストールしてください。 今後、別の電話でアプリケーションを設定できるようになるかもしれませんので、選択した認証アプリケーションがバックアップと復元をどのように処理するかに注意してください。これで、ルートユーザーのログインが保護されました。

gsg_secure_step_2

追加のユーザーとロールの設定

ルートアカウントを日常的に使うのではなく、特定のロールと機能用に別々のユーザーを作成することは、セキュリティ上のベストプラクティスと見なされています。1 つを設定するには、まず、IAM ユーザーグループを作成します。これには、グループの一員であるすべてのユーザーに適用される一連のアクセス許可があります。左側のナビゲーションの [ユーザーグループ] をクリックしてから、[グループの作成] をクリックします。グループ名 (「管理者」など) を入力してから [アクセス許可ポリシーを添付する] まで下にスクロールします。「AdministratorAccess」を検索してから、「AdministratorAccess」という名前のポリシーの横にあるボックスをチェックし、下にスクロールして、[グループの作成] をクリックします。

gsg_secure_step_3

次に、左側のナビゲーションバーの [ユーザー] をクリックしてから、[ユーザーの追加] をクリックして、IAM ユーザーを作成します。ユーザーネームを入力したら、AWS へのアクセスタイプを選択する必要があります。プログラムによるアクセスでは、 AWS CLI、CDK および他のアプリケーションでの使用のためのアクセスキー ID とシークレットペアが作成され、AWS マネジメントコンソールにより、ユーザーは、このアカウントの AWS コンソールにログインできるようになります。このガイドでは、これらのオプションの両方を選択してください。

gsg_secure_step_4

[次へ] をクリックして、作成したグループにユーザーを追加し、リストからユーザーを選択してから、[次へ:タグ] をクリックします。

gsg_secure_step_4-1

タグは、サービス全体のリソースを検索したり、部門などのメタデータを追加したりするのに役立ちます。このユースケースでは、タグを追加せずに [次へ: レビュー] をクリックします。これで、実際に作成する前に、作成しているユーザーに設定されている値をレビューできるようになりました。作成した「管理者」の下に「IAMUserChangePassword」と呼ばれる追加のマネージドポリシーが加えられているのに気づくでしょう。これは、パスワードの変更を強制するオプションが選択された場合に、どのユーザーにも追加されます。すべての IAM ポリシーに必要な権限があるとは限らないためです。

gsg_secure_step_5

[ユーザーの作成] をクリックしてユーザーを作成します。これで、ユーザーの確認画面が表示されるようになりますが、まだ [閉じる] ボタンをクリックしないでください。自動生成されたパスワードと API アクセス用のシークレットアクセスキーには、この画面からのみ 1 回アクセスできます。アクセスキー ID、シークレットアクセスキーおよびパスワードは書き留めておいてください。これらは、このガイドの次のモジュールで使用します。その後、 [閉じる] をクリックします。

gsg_secure_step_6

最後のステップ

ログアウトして新しい IAM ユーザーの使用を開始する前に、さらに 2 つのステップを完了する必要があります。1 つ目は、アカウントのエイリアスを設定して、12 桁のアカウント ID より覚えやすくすることです。それを設定するには、左側のナビゲーションバーの [ダッシュボード] をクリックしてから、右側のパネルの「AWS アカウント」セクションの下にある [作成] をクリックします。これでアカウントにエイリアスを設定できるようになりました。これは、すべての AWS アカウントにわたってグローバルに一意である必要があるため、最初の選択肢が利用できないことがあります。

gsg_secure_step_8

[保存] をクリックして値を設定してから、このガイドで後で使用するために生成された URL をコピーします。https://<your-text>.signin.aws.amazon.com/console の形式になります。

gsg_secure_step_7

完了すべき最後のステップは、使用する必要があるかもしれないすべてのリージョンを有効にすることです。これは、2019 年 3 月 20 日以降に発売されたリージョンにのみ適用されます。これには、現在、次のリージョンが含まれています。

  • アフリカ (ケープタウン)
  • アジアパシフィック (香港)
  • 欧州 (ミラノ)
  • 中東 (バーレーン)
 
これらのリージョンのどれかを有効にする必要がある場合は、 こちらの手順に従ってください。

まとめ

おめでとうございます。アカウントを保護する方法を学びました。ログアウトして、上で作成した新しいユーザーアカウントで再度ログインすることを忘れないでください。

次は AWS CLI の設定です

当社のサービスについてご意見をお聞かせください。

フィードバックありがとうございます。
このページがお役に立てれば幸いです。今後の改善のために、追加の詳細情報を共有していただけますか?
閉じる
フィードバックありがとうございます。
このページがお役に立たず申し訳ありません。今後の改善のために、追加の詳細情報を共有していただけますか?
閉じる