AWSアカウントを作ったら最初にやっておくこと～セキュリティ設定編～

こんばんは、小寺です。AWSアカウントを作ったら最初にやることを改めてまとめてみました！

AWSアカウントを作成するのに必要なのがルートアカウント用のメールアドレスとAWSアカウント名に設定する英数時の組み合わせです。このときのメールアドレスは「メーリングリスト」を利用することを強くお薦めします！

理由は、ヘルスからの計画的なメンテナンス通知や他の情報を受け取るのが個人のメールアドレスだと気づかなかった・・見過ごした・・を防ぐことができます。もちろんヘルスからの通知はダッシュボード化やAPIを活用したり、重要度を絞り込んだ通知をおいおい設定していくのですが、AWSアカウントの作成の最初で気をつけたいのがこのポイントです。検証で自分用だよーという方はもちろん個人のアドレスでも問題ないです。

AWS は、お客様のルートアカウントの所有者もしくは運用、セキュリティ、請求の連絡先へ、サービス通知や計画されているアクティビティに関する定期的な更新を電子メールで提供します

ルートアカウントのMFA設定

IAM Identity Centerを利用されていて、Organizationsなどから新規にAWSアカウントを追加した場合、ルートパスワードを設定せずに利用できればなお良しですが、パスワードを「パスワードをお忘れの方」から設定します。

ログインできたら、まず最初にやることがMFA設定です。「アカウント名」から[Security credentials] (セキュリティ認証情報) を選びます。実際の手順はこちらを参照。アクセスキーも削除しておきましょう。

AWSルートアカウントは、以前はサポートプランの変更で利用することもありましたが、アップデートによりIAMでも対応できるようになっています。Organizationsの管理アカウントや再販契約をしているような特殊なAWSアカウント以外は、解約以外では基本的に使わないと捉えておいて問題ないです。

・AWSアカウントへアクセスするためのIAMユーザの作成

AWSアカウントへアクセスするためには、ルートアカウントの利用は日常はしないため、IAMユーザーを作成しましょう。最初のIAMユーザーを作成するときのみ、ルートアカウントで作業を行います。

一般的に、個々の IAM ユーザーにアクセス許可を定義するのではなく、それぞれの (管理者、デベロッパーなど) に関連させながら、ユーザーグループを作成するようにしましょう。その上で、各ユーザーグループに関連のあるアクセス許可を定義します。最後に、IAM ユーザーをそれらのユーザーグループに割り当てます。

まずは、管理者権限ありのIAMユーザーを作成します。

IAMコンソールから、「ユーザーグループ」で新規に「admin（名称は自由です）」グループを作成します。
グループのアクセス権として、ポリシーから「AdministratorAccess」を設定します。

今回はOrganizations配下でSCPでよしなにやってくれるわけではなく、シングルのAWSアカウント前提で、セキュリティ設定について最初にやっておくべきことをお伝えします！

パスワードポリシーの設定

IAMでパスワードポリシーを設定しておきましょう。デフォルトのパスワードポリシーは以下で定義されています。

パスワードの文字数制限: 8～128 文字
大文字、小文字、数字、英数字以外の文字 (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ') のうち、最低 3 つの文字タイプの組み合わせ
AWS アカウント名または E メールアドレスと同じでないこと
有効期限のないパスワード

IAMのアカウント設定より設定します。ここは会社やプロジェクトのポリシーがあれば準拠するようにしましょう。