Contenu connexe
Similaire à JAWS-UG初心者支部#2 AWSでアカウント作ったら最初にやるべきこと (20)
Plus de Nobuhiro Nakayama (20)
JAWS-UG初心者支部#2 AWSでアカウント作ったら最初にやるべきこと
- 2. 2
cat << EOF > me.json
{
“name” : “Nobuhiro Nakayama”,
“company” : “UCHIDAYOKO CO., LTD.”,
“favorite aws services” : [
“Directory Service”, “IAM”, “CLI”
],
“twitter” : ”@domokun70cm”,
“facebook” : ” nobuhiro.nakayama.12”,
“certifications” : [
“AWS Certified Solutions Architect-Professional”,
“AWS Certified SysOps Administrator-Associate”,
“Microsoft Certified Solutions Expert Server Infrastructure / SharePoint”,
“IPA Network Specialist”, “IPA Information Security Specialist”
]
}
EOF
- 6. やるべきこと(異論は認める)
• セキュリティ
1. CloudTrailの有効化
2. RootアカウントへのMFA設定
3. IAMユーザおよびIAMグループの作成
• IAM users sign-in linkのエイリアス(別名)を設定
4. パスワードポリシーの設定
• 請求
5. IAMユーザによる請求情報へのアクセスの許可(IAM User Access to Billing Information)
6. 支払通貨(Local Currency Preference)の変更
7. 請求関連の通知設定(Preferences)
8. Budget(予算)の設定
• その他
9. 連絡先(Alternate Contacts)およびTrusted Advisorの有効化
10.Configの有効化
11.秘密の質問の設定
6
- 7. 【PR】ちなみに・・・
• 本日の内容はCLI専門支部 #11の内容(ハンズオン)がベースになっています。
• CLI専門支部を主催する波田野さん、いつもありがとうございます!
• ハンズオン以降の新機能や、なぜその設定を行うのか、などを追加
• ご興味のある方は、CLI専門支部にも是非お越しください!
• 隔週開催!
• 次回は祝日スペシャル
• JAWS-UG CLI専門支部 #24 - 祝日スペシャル (Sphinx x S3静的Webサイトホスティング)
• https://jawsug-cli.doorkeeper.jp/events/24372
• お越しの際は、事前の環境構築をお願いします。
• [JAWS-UG CLI] 総合案内
• http://qiita.com/tcsh/items/14c3278f69ab073afe0f
7
- 9. CloudTrailとは
• サービスの概要
• ユーザによるAPIコールをロギングしてくれるサービス
• Management ConsoleやCLIによる操作もロギングの対象
• ログはS3にJSON形式で保存される
• 料金はログの保存先となるS3の料金のみ
• CloudWatch LogsやSNSを利用して通知を行うことも可能
• 例)AWSアカウントでログインしたら通知、など
• http://blogs.aws.amazon.com/security/post/Tx3PSPQSN8374D/How-to-Receive-Notifications-
When-Your-AWS-Account-s-Root-Access-Keys-Are-Used
• http://aws.typepad.com/aws_japan/2015/06/how-to-receive-notifications-when-your-aws-
accounts-root-access-keys-are-used.html
9
Security Blog
超おすすめ!
- 16. MFA(Multi Factor Authentication)とは
• 多要素認証
• ID(メールアドレス)+パスワードに加えて、
AWSではタイムベースのワンタイムパスワードによる認証を追加することが可能
• ハードウェアトークンとソフトウェアトークンを利用可能
• ハードウェアトークン
• Gemalto製トークン(キーホルダー型およびカード型)
• ソフトウェアトークン
• Google Authentication、Amazon Virtual MFAなど
• ワンタイムパスワードのアルゴリズムはRFC6238を参照
• http://tools.ietf.org/html/rfc6238
16
- 20. なぜ、MFAを有効化するのか
• 乗っ取り防止
• IDとパスワードだけでは認証強度が低い
• 権限を制御できないので、乗っ取られると何でも出来る
• 190万円の請求が来た例
http://d.hatena.ne.jp/yoya/20150404/aws
• セキュアな運用
• トークンを金庫になどに封印してAWSアカウントの利用を原則禁止、など
• 後述するIAMユーザで通常の運用は可能
• ただし、侵入テスト申請などAWSアカウントでのみ可能なこともわずかに存在する
• http://dev.classmethod.jp/cloud/aws/penetration-testing/
• パスワードを知っている人とトークンを持っている人を分ける、など
• 属人的な運用の回避
• 内部犯行による情報の窃取の抑止
20
- 23. IAMユーザおよびIAMグループとは
• IAMユーザとは
• AWSアカウント内部で定義できるユーザ
• Management Consoleへのログインなどに利用可能
• 権限はManaged PolicyもしくはInline Policyとして付与
• 権限はJSON形式で記述
• Managed PolicyはAWSのリソースとして定義できる(使い回せる)
• Inline Policyはユーザやグループに直接設定する(使い回せない)
• MFAを利用可能
• 強い権限を付与する場合には必ず設定するべき
• IAMユーザに多要素認証の管理権限を委譲することも可能
• http://blogs.aws.amazon.com/security/post/Tx2SJJYE082KBUK/How-to-Delegate-Management-of-
Multi-Factor-Authentication-to-AWS-IAM-Users
• IAMグループとは
• ユーザを所属させることができる
• グループに権限を付与することで、グループに所属するユーザにも権限が付与される
23
- 33. ダメ、絶対!!!
/ ̄\
| ^o^ | < パスワードは何ですか?
\ _/
_| | _
| |
/ ̄\
| | < パスワードは password です
\_/
_| |_
| |
33
- 44. 請求関連の通知設定(3種類)
• 毎月の請求書をメールで受け取ることが可能
• メールにPDFが添付されている
• 料金が設定した閾値を超えたときに通知させることが可能
• Cloud WatchとSNS(Simple Notification Service)を利用して通知
• 使い過ぎに気付くことができる
• 後述するbudget(予算)でも代替可能
• 料金の明細を出力することが可能(4種類)
• S3にCSV形式で明細を出力させることが可能
• リソースにタグを付与して請求を細かく分類することも可能
• 「リソースとタグを含む詳細な請求レポート」
(Detailed billing report with resources and tags)
• タグを付与すると、Cost Explorerによる詳細な分析も可能になる
• 部署やプロジェクト単位で経費を案分したいときなどに利用することを検討
44
- 51. 予算
• 予算とは
• 月間の予算を設定し、現行コストの進捗率を管理できる
• 複数の予算設定が可能
• 次月以降の予測ができる
• フィルタリングも可能
• サービス、タグ、API呼び出し、Reserved / Non-Reserved、など
• 例)部署、プロジェクト毎の予算を管理
• 個別の予算に対して通知設定が可能
• Billing Alertと同様のことも実現可能(フィルタリング無しの予算)
• Cloud Watchアラームの無料枠を越えると課金対象
• なぜ予算を利用するのか
• 予期しない料金発生の検知と迅速な原因の特定
• 従来のBilling Alermより詳細な通知条件の設定が可能
• 例)タグを使って部署別の予算を集計+個別通知
51
- 55. Trusted Advisorとは
• AWS環境を自動でチェックし、推奨事項を教えてくれる
• Management Consoleで確認可能
• 各種の推奨事項をメールで通知してくれる
• Alternate Contactsとして請求・オペレーション・セキュリティの連絡先を3つ指定できる
• 通知の種類は以下の4種類
• コスト
• セキュリティ
• 耐障害性
• パフォーマンス
• サポートレベルに応じて利用できる推奨事項の数が異なる
• Developer以下は4(パフォーマンス1、セキュリティ3)、Business以上は全て
55
- 59. なぜTrusted Advisorを利用すべきか
• 自力でチェックするのはつらい
• CLIなどで情報の抽出と識別をある程度自動化することは可能だが、つらい・・・
• そもそも何をチェックすればいいのか分からないときに便利
• 【注意】
• EC2インスタンスの内部など(責任共有モデルでユーザが責任を負うべき部分など)までは
チェックできない
• あくまでも、「Advisor」
• 最終的な管理責任はユーザにある
• 全てのチェック項目をクリアしていても、セキュリティ的に完全であることを保証するものではない
59
- 61. Configとは
• AWSのリソースに対して、以下の管理が可能
• 対象のリソースとそれに関連するリソースの状態を記録
• 例)EC2インスタンスが起動しているか、など
• Configが無効の場合、(Management Consoleなどで)確認できるのは「今」の状態だけ
• リソースの状態の変更履歴を確認可能
• リソース間の関係を記録(リレーションシップ)
• 例)EC2インスタンスにアタッチされているEBSボリューム、など
• http://docs.aws.amazon.com/ja_jp/config/latest/developerguide/resource-config-
reference.html#supported-relationships
• 変更を通知することも可能
61
- 62. サポートするリソース
• 対象リソースは、EC2とその周辺サービス
• EC2 instance
• EC2 Elastic IP (VPC only)
• EC2 security group
• EC2 network interface
• Amazon EBS volume
• VPCs
• Network access control list (ACL)
• Route table
• Subnet
• VPN connection
• Internet gateway
• Customer gateway
• VPN gateway
• Trail
62
- 68. 秘密の質問
• AWSアカウントに対して、管理者しか答えることができない質問とその回答を設定
• 質問は選択肢から選ぶ
• 「秘密の質問の答え1?」といった汎用的な質問も設定できる。
• 質問は3つ設定できる
• 設定するかどうかは任意(必須ではない)
• 昔は、Billing Alert設定前に必須の設定作業だった
• 設定した場合、
• 電話での問い合わせ時・MFAデバイスの解除申請時に秘密の質問への回答を求められる
• MFAデバイスの解除申請は米国の窓口で行うため、
回答を日本語で記載していると日本語のサポートにエスカレーション(?)される
• 日本の窓口の稼働時間は平日日中のため、緊急対応はできないので注意!
• ただし、メールでの問い合わせでは回答を求められない
• 一度設定すると削除できない
• 変更は可能
68
- 74. 参考資料
• [JAWS-UG CLI] AWSアカウント(root)作業 #1証跡関連の設定
• http://qiita.com/tcsh/items/b31c64029dfe3953ca9d
• [JAWS-UG CLI] AWSアカウント(root)作業 #2 IAM関連の設定
• http://qiita.com/tcsh/items/6f297076935fa6a06044
• [JAWS-UG CLI] AWSアカウント(root)作業 #3 請求関連の設定
• http://qiita.com/tcsh/items/3394d2815de1be69c43d
74
- 75. 参考資料
• AWS Black Belt Techシリーズ AWS CloudTrail & CloudWatch Logs
• http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-aws-
cloudtrail-cloudwatch-logs
• JAWS-UG京王線 #2 「CloudTrailとの賢い付き合い方」
• https://speakerdeck.com/t2hnd/jaws-ugjing-wang-xian-number-2-
cloudtrailtofalsexian-ifu-kihe-ifang
• Supported Services(AWS CloudTrail)
• http://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_sup
ported_services.html
• Logstorage for AWS とは
• http://www.logstorage.com/aws/index.html
• AWS CloudTrail Logs
• https://www.loggly.com/docs/cloudtrail-log-ingestion/
75
- 76. 参考資料
• IAM Best Practices
• http://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html
• AWS で不正アクセスされて凄い額の請求が来ていた件
• http://d.hatena.ne.jp/yoya/20150404/aws
• AWS Black Belt Techシリーズ AWS IAM
• http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-aws-iam
• パスワードの定期的変更に関する徳丸の意見まとめ
• http://tumblr.tokumaru.org/post/38756508780/about-changing-passwords-regularly
• IAMユーザに多要素認証の管理権限を委譲する方法
• http://blogs.aws.amazon.com/security/post/Tx2SJJYE082KBUK/How-to-Delegate-
Management-of-Multi-Factor-Authentication-to-AWS-IAM-Users
76
- 77. 参考資料
• Billing and Cost Management Permissions Reference
• https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-
ref.html
• New – Set Preferred Payment Currency for your AWS Account
• https://aws.amazon.com/jp/blogs/aws/new-set-preferred-payment-currency-for-
your-aws-account/
• 外貨で決済した場合の換算レートについて
• https://www.smbc-card.com/mem/service/sec/kaigai01.jsp
• コスト配分タグの使用
• http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/cost-alloc-
tags.html
• AWS Black Belt Techシリーズ Cost Explorer & AWS Trusted Advisor
• http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-cost-
explorer-aws-trusted-advisor
77
- 78. 参考資料
• [AWS新サービス] リソース管理サービス「AWS Config」 #reinvent
• http://dev.classmethod.jp/cloud/aws/aws-service-new/
• [新サービス] AWS Configを触ってみた #reinvent
• http://dev.classmethod.jp/cloud/aws/aws-config-ataglance/
• LogstorageでAWSの全体構成を可視化する
• http://dev.classmethod.jp/cloud/aws/aws-logstorage-config/
78