はじめに
次をベースにして勉強、実際の設定を進めていきました。
- [iam aws ベストプラクティス] で検索
- 公式ドキュメント -> IAM とは – AWS Identity and Access Management
やったこと
そんなに多くはありません。
- 公式ドキュメントを、上述のページを起点に IAM のページを読み、理解を深めた。
- AWS へログイン > Identity and Access Management (IAM) > ダッシュボード > セキュリティステータス、の 5 項目を完了させた。
- ルートアカウントの MFA を有効化
- 個々の IAM ユーザーの作成
- グループを使用したアクセス許可の割り当て
- IAM パスワードポリシーの適用
- アクセスキーのローテーション
- どのサービスをこれから使い始めていくのかわからないため、どのように IAM グループと IAM ユーザーを作れば良いかわからなかった。なので、手始めとして、管理者用のグループとユーザーを作成して追加した。Example Corp の初期設定 ビジネスユースケース – AWS Identity and Access Management を参考にした。
以下、追記。
- 管理ユーザーのアクセスキーを削除した。
- IAM ユーザー/ロールによる請求情報へのアクセス、を有効にした。
- 電子メールで PDF 版請求書を受け取るようにした。
- 請求アラートを受け取るようにしてみたかったが、 CloudWatch サービスの使用料金が発生するのかどうかよくわからなかったので見送った。
おわりに
面倒な作業と言えば、作業自体も面倒ですし、学習も必要なのでさらに面倒です。しかし、コストに見合った以上の価値を、次のようなページをみると、理解することができます。
漏洩の事例について調べているうちに、次のページが良いと感じましたので、メモし、また、実践したことをやったことに追記いたしました。
今回は、AWS の特定のサービスを利用していないため、アクセスキーそのものを利用していません。実際に ASW のサービスを利用し始める際には、
- アクセスキーが必須でないならば、使用しない。
- アクセスキーが必須ならば、最小限の権限をもつ IAM グループ、 IAM ユーザーを作成して利用する。
- awslabs/git-secrets: Prevents you from committing secrets and credentials into git repositories を使う。
あたりを行うのが良さそうです。
以上です、