自分の AWS アカウントとそのリソースをセキュアにするためのベストプラクティスについて教えてください。

AWS では、アカウントの安全確保に役立つツールを多数ご用意しています。ただし、これらの対策の多くはデフォルトでは有効化されていないため、実際に使用するには、お客様に自ら必要な措置を取っていただく必要があります。以下、アカウントとリソースの安全確保に役立つベストプラクティスの事例をご紹介します。

パスワードとアクセスキーを保護する

パスワードとアクセスキーは、アカウントにアクセスする際に使用される主要な 2 種類の認証情報です。これらの認証情報は、どちらも AWS のルートユーザーアカウント または AWS Identity and Access Management (IAM) の個々のユーザーに適用できます。パスワードとアクセスキーは、他の機密の個人データを保護する場合と同様にできる限り安全に保護することを強く推奨します。一般にアクセス可能なコード (つまり公開の Git リポジトリ) にこれらを埋め込むことは、絶対におやめください。さらなるセキュリティ強化のため、すべてのセキュリティ認証情報は頻繁にローテーションまたは更新してください。

ドキュメントまたはコードのバージョニングおよび共有に GitHub を使用している場合は、git-secrets を使用することをご検討ください。これにより、AWS 認証情報とその他機密情報をスキャンすることができます。git-secrets を使用すれば、機密情報を含むコードまたはドキュメントのコミットの回避に役立ちます。

Multi-Factor Authentication (MFA) デバイスをセットアップして、API アクセス権のみを持つアクセスキーを保護します。MFA を使用すると、どの API コマンドで MFA トークンを実行すべきかを細かく調整できます。

パスワードまたはアクセスキーペアの漏洩が疑われる場合は以下の対策を講じます。

  1. アクセスキーのペアをすべてローテーションします
  2. ルートユーザーのパスワードを変更します
  3. 自分の AWS アカウントが危険にさらされているようですの指示に従います。

リソースへのルートユーザーアクセスを制限する

ルートユーザーのアカウント認証情報 (ルートパスワードまたはルートアクセスキー) は、アカウントとそのリソースへの無制限のアクセス権を付与します。したがって、アカウントへのルートユーザーアクセスをセキュア化し最小限に抑えることがベストプラクティスとなります。

アカウントへのルートユーザーアクセスを制限するには、以下の戦略を考慮します。

  • たとえアクセスする人がユーザー自身だけであっても、アカウントへの日常的なアクセスには IAM ユーザーを使用する。
  • ルートアクセスキーの使用を停止し、代わりに、それらを IAM アクセスキーにローテーションする。ルートアクセスキーは削除する。
  • アカウントのルートユーザーには MFA デバイスを使用する。

IAM ユーザーとそのポリシーを頻繁に監査する

IAM ユーザーと作業を行うときは、以下のベストプラクティスを考慮します。

セキュアなポリシーを定義するときは、AWS Policy Generator が役に立ちます。これらに対処するために利用可能な一般的なビジネスユースケースやポリシーの例については、ビジネスユースケースを参照してください。

アカウントとそのリソースをモニタリングする

アカウントのアクティビティに関する質問は、AWS サポートでお問い合わせいただけます。ただし、プライバシーおよびセキュリティ上の理由から、AWS は、問題を調査するためにお客様の使用状況を能動的にモニタリングすることはなく、限られたツールのみを使用します。異常なアクティビティやアカウントへのアクセスを検出するには、アカウントとそのリソースを能動的にモニタリングすることがベストプラクティスとなります。以下のソリューションのうち、1 つまたは複数をご検討ください。

注意: 可能であれば、ベストプラクティスとして、定期的に使用するリージョンだけではなく全リージョンのロギングを有効化します。


このページは役に立ちましたか? はい | いいえ

AWS サポート ナレッジ センターに戻る

サポートが必要ですか? AWS サポートセンターをご覧ください。

公開日: 2017 年 3 月 14 日

更新日: 2019 年 2 月 12 日