はじめに
この記事はAWSでアカウントを作って、AWSの各種サービスを利用する前にやっておくべき設定について解説した記事です。
ルートアカウントの保護
作成したばかりのルートアカウントは、メールアドレスとパスワードだけでサインインできてしまうので、セキュリティ上とっても心許ない状態です。セキュリティを高めるためにも、多要素認証(Multi-Factor Authentication、以下MFA)を有効化していきます。
「サービスを検索する」と書かれたテキストボックスに「iam」と入力してエンターキーを押して下さい。Identity and Access Management(以下、IAM)の画面が開きます。
ルートアカウントのMFAを有効化をクリックして下さい。
「MFAの管理」ボタンをクリックして下さい。
多要素認証(MFA)をクリックして下さい。
「MFAの有効化」ボタンをクリックして下さい。
「仮想MFAデバイス」を選択して、「続行」ボタンをクリックして下さい。
「QRコードの表示」をクリックするとQRコードが表示されますので、スマホにインストールした認証アプリでQRコードを読み込んで下さい。インストールしていない人は認証アプリをインストールして下さい。参考までに私は、Googleが無料で提供しているAuthenticatorというアプリをインストールして使っています。
QRコードを認証アプリで読み込むと、AWSに対応した認証コードを発行してくれます。例として、GoogleのAuthenticatorの場合は、以下のようにAWSに対応した認証コードとして6桁の数値が表示されます。
この数値をMFAコード1と2に連続で入力し、MFAの割り当てボタンをクリックして下さい。
AWSの画面にはMFAコードの入力欄が2つありますが、認証アプリには1つしか認証コードが表示されませんが、認証アプリ表示したままで数秒経過すれば、新たな認証コードが表示されますので、1つ前の認証コードと合わせて2つ分をAWSの画面で入力して下さい。
MFAの割り当てボタンをクリックして、「仮想MFAが正常に割り当てられました」というメッセージが表示されればMFAの割り当ては成功です。お疲れ様でした。
IAMユーザー作成
通常AWS上での作業はルートユーザーでは行わず、別途作業用のユーザーを作成し、そのユーザー作業をすることがほとんどです。ここでは、作業用のユーザーの作り方について解説します。
IAMの画面から「個々のIAMユーザーの作成」をクリックします。
「ユーザーの管理」ボタンをクリックします。
「ユーザーを追加」ボタンをクリックして下さい。
ユーザー詳細の設定画面が表示されるので、ユーザー名の名前を入力し、アクセスの種類をチェックして下さい。ユーザー名は、任意の名称で問題ありません。アクセスの種類については、はじめのうちは「プログラムによるアクセス」は必要ないため、「AWSマネジメントコンソールへのアクセス」の方だけにチェックを入れて下さい。
「AWSマネジメントコンソールへのアクセス」にチェックを入れると、コンソールのパスワードとパスワードのリセットが必要かのチェックが画面に追加されます。コンソールのパスワードは自動生成の場合はAWSが提案するパスワードが設定されます。カスタムパスワードの場合は、自身で決めたパスワードを設定することができます。
「パスワードのリセットが必要」にチェックを入れると、作成したユーザーの初回サインイン時にパスワード変更を求めれらます。これは、ユーザー作成者と作成されたユーザーの利用者が異なる場合に、ユーザー利用者がパスワードを再設定するための機能です。今回は、ユーザー作成者と利用者が同一のためチェックはしていません。
必要な項目を入力、設定し終えたら「次のステップ:アクセス権限」ボタンをクリックして下さい。
ユーザーはグループに紐づける必要があるので、「グループの作成」をクリックして下さい。
グループ名には、任意の名前を入れてください。ポリシーは暫定で「AdministratorAccess」にチェックを入れてください。
グループ名とポリシーを選択したら「グループの作成」ボタンをクリックして下さい。
「次のステップ:タグ」ボタンをクリックしてください。
タグについては今回設定しないので、「次のステップ:確認」をクリックして下さい。
ユーザーにメールアドレスや所属、住所など、個別に属性を付与したい場合はタグの設定を行って下さい。
作成内容を確認して、問題なさそうであれば、「ユーザーの作成」ボタンをクリックして下さい。
ユーザーの作成に成功すれば、上図のように成功のメッセージが表示されます。またパスワードを自動生成にしていた場合は、この画面でパスワード欄の「表示」をクリックすると生成されたパスワードを確認することができます。メモをとるなり忘れないように管理して下さい。
作成されたユーザーが、IAM画面のユーザー一覧に表示されています。作成したばかりのユーザーはMFAが有効になっておらずセキュリティが高い状態ではありません。MFAを設定するには、ユーザー一覧のユーザー名をクリックして下さい。
表示されたユーザー情報の認証情報タブをクリックすると上図のようになりますので、「MFAデバイスの割り当て」の「管理」をクリックして、ルートユーザーと同様の手順でMFAを設定して下さい。ここではその手順は割愛します。
続いて、IAM画面のダッシュボードをクリックして下さい。セキュリティステータスの「IAMパスワードポリシーの適用」に警告マークが出ています。初期状態では、AWSのパスワードポリシーはあまり良い状態ではありません。なので、パスワードポリシーを適切に設定することで、セキュリティを強化していく必要があります。「IAMパスワードポリシーの適用」をクリックして下さい。
「パスワードポリシーの管理」ボタンをクリックして下さい。
「パスワードポリシーを設定する」ボタンをクリックして下さい。
パスワードの最小文字数やその他パスワードの条件を上図を例に設定してみて下さい。設定したら、「変更の保存」ボタンをクリックして下さい。
パスワードポリシーが更新できていたら上図のように更新が成功した旨のメッセージが表示されますので、変更した内容が想定どおりに設定されているかを確認して下さい。
IAM画面のダッシュボードリンクをクリックし、セキュリティステータスがすべて緑になっていれば一旦セキュリティに関する設定は完了です。お疲れ様でした。
コメント
[…] この記事はAWSでアカウントを作って、AWSの各種サービスを利用する前にやっておくべき設定について解説した前回の記事の続きです。まだ読んでいない方はそちらを先にご確認いただくことをお奨めします。 […]