kikudai blog

kikudai blog

人生何が起こるか分からない。

03 05月 2020

aws 初回登録(サインアップ)後のtodo(その1)

サマリー

新規 aws アカウント 作成後の対応をまとめました。

基本的に aws ドキュメントの IAM のベストプラクティス - AWS Identity and Access Management の実施になりますが、他に必要な作業も追記しました。

  1. ルートユーザーのセキュリティ対策
    • 15桁以上のパスワード
    • MFAの有効化
  2. IAM ユーザー/ロールによる請求情報へのアクセス有効化
  3. Administrator ユーザー作成し、以後 Administrator で作業
    • IAMのベストプラクティス実施
    • ユーザー名の命名規則
    • タグの効果的な使い方
  4. アカウントIDのエイリアス化
  5. 強制MFAポリシーの作成とアタッチ
  6. FinanceManager ユーザーの作成

この記事の対象者

AWS 認定ソリューションアーキテクト – アソシエイト 程度の知識を持っている方であれば、これらの作業は問題なく可能です。

IAMのユーザー、グループ、ロール、ポリシーの基本的な理解が必要になります。

1. ルートユーザーのセキュリティ対策

15桁以上のパスワード

以下を参考にルートユーザーのログインパスワードを15桁以上に。

パスワードは複雑さより長さが大切 - Google 検索

以前は Lastpass というパスワード管理アプリを利用していましたが、最近 Bitwarden を利用しています。

Bitwarden - Google 検索

さくっと15桁以上のパスワード発行したい場合は、こちらのコマンドをどうぞ。(git bashなど利用)

cat /dev/urandom | LC_CTYPE=C tr -dc '\[:alnum:\]' | head -c 16

MFAの有効化

MFA の有効化 を実施しました。
できれば、U2Fデバイスの有効化としたいところです。 (後ほど、U2Fデバイスを購入したので aws 初回登録(サインアップ)後のtodo(その2) でMFAからU2Fの切替を実施しています)

2. IAM ユーザー/ロールによる請求情報へのアクセス有効化

アクセス許可の管理の概要 - AWS 請求情報とコスト管理 に従って、ルートユーザー以外でも請求情報を管理できる設定をしました。

3. Administrator ユーザー作成し、以後 Administrator で作業

IAMのベストプラクティス実施

まずは個々の IAM ユーザーの作成 を実施しました。
また、 最初の IAM 管理者のユーザーおよびグループの作成 を参考に Administrator ユーザーを作成。
このとき、改めてグループ、ロール、ポリシー等を [AWS]管理ポリシーとインラインポリシーの違いが分からなかったので改めてIAMポリシーのお勉強をする - Qiita で復習しました。

ユーザー名の命名規則

ベストプラクティス通り Administrator でユーザー作成して構わないのですが、それだと何人か Administrator ユーザーを作成したい場合、不都合です。
氏名+役割 であれば、複数人にも対応できるので daichi.kikuchi+admin としてみました。

タグの効果的な使い方

また、ユーザー作成時のタグ付ですが、タグの効果的な使い方が今ひとつだったので、 ぐぐって眺めてみたところ Tagの効能 | AWSコスト削減・IaaSインフラ構築のシンプライン株式会社 が一番しっくりきました。

とりあえず、admin ユーザーのタグ(タグ名=値)として、

  • email=メアド(admin に割り当てるメアド)
  • todo=https://trello.com/c/…/.

の2つを設定。

todoのがtrelloなのは、これらの作業をtrelloで管理していたためです。

4. アカウントIDのエイリアス化

AWS アカウント ID とその別名 - AWS Identity and Access Management で、 AWS アカウントの別名の作成 を実施しました。

これでコンソールログインのとき、アカウント ID (12 桁) はなく、アカウントエイリアスでログインできるようになります。

5. 強制MFAポリシーの作成とアタッチ

チュートリアル: ユーザーが自分の認証情報および MFA を設定できるようにする を参考に 強制MFAポリシー を作成します。

早速このポリシーを admin ユーザーにアタッチ。

現在(2020/05/03)このカスタムポリシーだと、IAMでユーザー名が表示されず、パスワードの変更もできないことが判明。こちら AWS IAMユーザにMFA必須ポリシーを当てる - Qiita のMFA強制カスタムポリシーをおすすめします。

アタッチ後、 IAM 以外のサービスにアクセスすると、エラーでサービスが利用できなくなります。 IAM にて admin ユーザーの MFA の有効化 を実施しました。

admin ユーザーでログインし直すと、 IAM 以外のサービスも利用出来るようになりました。

6. FinanceManager ユーザーの作成

チュートリアル: ユーザーが自分の認証情報および MFA を設定できるようにする - AWS Identity and Access Management に従って請求情報を管理する FinanceManager ユーザーを作成しました。

comments powered by Disqus