自分の AWS アカウントとそのリソースをセキュアにするためのベストプラクティスについて教えてください。

AWS では、アカウントをセキュア化するために役立つツールを多数提供しています。これらの対策方法の多くはデフォルトでアクティブ化されておらず、実装するにはお客様が直接措置を講じる必要があります。以下は、お客様のアカウントとそのリソースのセキュア化を助けるために考慮するベストプラクティスの一部です。

パスワードとアクセスキーを保護する

アカウントにアクセスするために使用される 2 つの主な資格情報タイプは、パスワードとアクセスキーです。両方の資格情報タイプをルートアカウント、または個々の IAM ユーザーに適用することができます。パスワードとアクセスキーはその他の機密個人データと同様に保護する必要があり、一般公開されているコード (つまり、公開 Git リポジトリ) には決して埋め込まないようにしてください。セキュリティ強化のため、すべてのセキュリティ資格情報は頻繁に交換または更新してください。

ドキュメントまたはコードのバージョン管理と共有に GitHub を使用する場合は、AWS 資格情報とその他機密情報をスキャンできる git-secrets の使用を考慮してください。これは、機密情報が含まれるコードまたはドキュメントのコミットを回避するために役立ちます。

Multi-Factor Authentication (MFA) デバイスをセットアップして、API アクセス権のみを持つアクセスキーを保護し、どの API コマンドに実行するための MFA トークンが必要かを細かく調整します。

パスワードまたはアクセスキーが漏洩した疑いがある場合は、漏洩した資格情報を直ちに交換して削除し、「My AWS account may be compromised」を参照してください。

リソースへのルートユーザーアクセスを制限する

ルートアカウント資格情報 (ルートパスワードまたはルートアクセスキー) は、アカウントとそのリソースに対する無制限のアクセス権を付与するため、アカウントのルートユーザーアクセスをセキュア化し、最小限に抑えることの両方がベストプラクティスです。

アカウントへのルートユーザーアクセスを制限するために、以下の戦略を考慮してください。

IAM ユーザーとそのポリシーを頻繁に監査する

IAM ユーザーとの作業については、以下のベストプラクティスを考慮してください。

  • IAM ユーザーには、最大限厳格なポリシーと、IAM ユーザーが意図されたタスクを実行するに十分な許可のみ (最低限の権限) を付与するようにする 。
  • タスクの各セットに異なる IAM ユーザーを作成する。
  • 同じ IAM ユーザーに複数のポリシーを関連付けるときは、厳格度が最も低いポリシーが優勢されることに留意する。
  • IAM ユーザーとその許可を頻繁に監査し、使用されていない IAM ユーザーまたはキーを削除する。
  • コンソールにアクセスする必要が IAM ユーザーに生じた場合は、その IAM ユーザーの許可を制限しながらコンソールへのアクセスを許可するパスワードをセットアップすることが可能。
  • コンソールへのアクセス権を持つ各 IAM ユーザーに対し、個別の MFA をセットアップする。

セキュアなポリシーの定義には、AWS Policy Generator を使用することができます。これらに対応するために使用することができる一般的なビジネスユースケースとポリシーの例については、「ビジネスユースケース」を参照してください。

アカウントとそのリソースを監視する

アカウントのアクティビティに関する質問については、AWS サポートに問い合わせることができます。ただし、プライバシーおよびセキュリティ上の理由から、AWS は問題の調査にお客様の使用の積極的な監視は行わず、限定的なツールしか使用しません。異常なアクティビティやアカウントへのアクセスを検知するには、アカウントとそのリソースの積極的な監視が最も良い方法です。以下のソリューションのひとつ、または複数を検討してください。

注意事項: 可能な場合は、ベストプラクティスとして、定期的に使用するリージョンだけではなく、すべてのリージョンのロギングを有効化してください。

セキュリティ、iam、mfa、監査、アクセス、アクセスキー、不正使用、違反


このページは役に立ちましたか? はい | いいえ

AWS サポートナレッジセンターに戻る

サポートが必要ですか?AWS サポートセンターをご覧ください。

公開日: 2017 年 03 月 14 日