自分の AWS アカウントとそのリソースをセキュアにするためのベストプラクティスについて教えてください。
AWS では、アカウントをセキュア化するために役立つツールを多数提供しています。これらの対策方法の多くはデフォルトでアクティブ化されておらず、実装するにはお客様が直接措置を講じる必要があります。以下は、お客様のアカウントとそのリソースのセキュア化を助けるために考慮するベストプラクティスの一部です。
パスワードとアクセスキーを保護する
アカウントにアクセスするために使用される 2 つの主な資格情報タイプは、パスワードとアクセスキーです。両方の資格情報タイプをルートアカウント、または個々の IAM ユーザーに適用することができます。パスワードとアクセスキーはその他の機密個人データと同様に保護する必要があり、一般公開されているコード (つまり、公開 Git リポジトリ) には決して埋め込まないようにしてください。セキュリティ強化のため、すべてのセキュリティ資格情報は頻繁に交換または更新してください。
ドキュメントまたはコードのバージョン管理と共有に GitHub を使用する場合は、AWS 資格情報とその他機密情報をスキャンできる git-secrets の使用を考慮してください。これは、機密情報が含まれるコードまたはドキュメントのコミットを回避するために役立ちます。
Multi-Factor Authentication (MFA) デバイスをセットアップして、API アクセス権のみを持つアクセスキーを保護し、どの API コマンドに実行するための MFA トークンが必要かを細かく調整します。
パスワードまたはアクセスキーが漏洩した疑いがある場合は、漏洩した資格情報を直ちに交換して削除し、「My AWS account may be compromised」を参照してください。
リソースへのルートユーザーアクセスを制限する
ルートアカウント資格情報 (ルートパスワードまたはルートアクセスキー) は、アカウントとそのリソースに対する無制限のアクセス権を付与するため、アカウントのルートユーザーアクセスをセキュア化し、最小限に抑えることの両方がベストプラクティスです。
アカウントへのルートユーザーアクセスを制限するために、以下の戦略を考慮してください。
- アカウントへの日常的なアクセスには IAM ユーザーを使用する。これは、お客様がアカウントにアクセスする唯一のユーザーである場合も同様です。
- ルートアクセスキーの使用を廃止する。かわりに、それらを IAM アクセスキーに交換し、ルートアクセスキーを削除します。
- アカウントのルートユーザー用に Multi-Factor Authentication (MFA) デバイスを使用する。
IAM ユーザーとそのポリシーを頻繁に監査する
IAM ユーザーとの作業については、以下のベストプラクティスを考慮してください。
- IAM ユーザーには、最大限厳格なポリシーと、IAM ユーザーが意図されたタスクを実行するに十分な許可のみ (最低限の権限) を付与するようにする 。
- タスクの各セットに異なる IAM ユーザーを作成する。
- 同じ IAM ユーザーに複数のポリシーを関連付けるときは、厳格度が最も低いポリシーが優勢されることに留意する。
- IAM ユーザーとその許可を頻繁に監査し、使用されていない IAM ユーザーまたはキーを削除する。
- コンソールにアクセスする必要が IAM ユーザーに生じた場合は、その IAM ユーザーの許可を制限しながらコンソールへのアクセスを許可するパスワードをセットアップすることが可能。
- コンソールへのアクセス権を持つ各 IAM ユーザーに対し、個別の MFA をセットアップする。
セキュアなポリシーの定義には、AWS Policy Generator を使用することができます。これらに対応するために使用することができる一般的なビジネスユースケースとポリシーの例については、「ビジネスユースケース」を参照してください。
アカウントとそのリソースを監視する
アカウントのアクティビティに関する質問については、AWS サポートに問い合わせることができます。ただし、プライバシーおよびセキュリティ上の理由から、AWS は問題の調査にお客様の使用の積極的な監視は行わず、限定的なツールしか使用しません。異常なアクティビティやアカウントへのアクセスを検知するには、アカウントとそのリソースの積極的な監視が最も良い方法です。以下のソリューションのひとつ、または複数を検討してください。
- CloudWatch 請求アラートを有効化して、請求額がお客様定義のしきい値を超えた時に自動通知を受け取る。
- CloudTrail ロギングサービスを有効化して、特定の API コールの開始にどの資格情報がいつ使用されたかを追跡し、それが誤った使用であったか不正な使用であったかを判断して、その状況を緩和するために適切な処置を講じるために役立てる。
- アクセスキーの使用の監視と共に CloudTrail と CloudWatch を使用して、異常な API コールについてアラートを受け取る。
- リソースレベル (例えば、インスタンスまたは OS レベル) のロギングを有効にする。
注意事項: 可能な場合は、ベストプラクティスとして、定期的に使用するリージョンだけではなく、すべてのリージョンのロギングを有効化してください。
セキュリティ、iam、mfa、監査、アクセス、アクセスキー、不正使用、違反
