AWS入門 最初の設定

9月 13, 2020

パスワードポリシーを設定する

セキュリティのためにパスワードの方針を決めます。パスワードポリシーの設定はIAMというサービスから設定します。

IAMとは

IAMとは、Identity and Access Management(=アイデンティティーとアクセス管理)の略で、各ユーザにどのような権限を与えるかを設定する機能やサービスのことをいいます。AWSのIAMは無料で利用できます。

パスワードポリシーの設定方法

AWSの管理画面の上メニューから「サービス」を選択後、「IAM」を選択します。

左のメニューから「アカウント設定」を選択します。

「パスワードポリシーを設定する」ボタンを押下します。

パスワードポリシーを設定します。チェックを付けてルールを増やすほどセキュリティ性は上がりますが、利便性が下がります。(安全第一とはいいますが、あまりにストイック行うと利便性が犠牲になって運用に手間がかかってしまいます)最後に「変更の保存」ボタンを押して設定を保存します。

以上でパスワードポリシーの設定は完了です。

IAMで管理グループを作成する

AWSを組織的に運営していくために、管理グループを作成して運用するのが良いと言えます。しかし、個人でAWSを管理する場合でも管理グループは作っておいた方が便利です。

管理グループの作成方法

AWSの管理画面の上メニューから「サービス」を選択後、「IAM」を選択します。

つぎに、左のメニューから「グループ」を選択します。

「新しいグループの作成」ボタンを押下します。

管理グループのグループ名を入力したら、「次のステップ」ボタンを押下します。

ポリシーのアタッチでは、管理者グループのポリシーとして、「AdministratorAccess」にチェックを付けて「次のステップ」ボタンを選択します。

管理者グループとして、adminのグループが作成されたことを確認して下さい。
あとで同様に作業者のグループも作ると良いでしょう。

IAMで管理ユーザーを作成する

管理ユーザを作成する理由は、ルートユーザでログインせずにAWSで作業を行うためです。以下のようにしてユーザを作成します。管理画面の左メニューからユーザーを選択します。

「ユーザーを追加」ボタンを押下します。

ユーザー名を入力します。
「プログラムによるアクセス」・・・チェックを付けなくてもよいです。チェックをつけるとアクセスキーが発行されますが、後からでもアクセスキーは作成できます。
「AWSマネジメントコンソールへのアクセス」・・・こっちはコンソール操作に必要なのでチェックを入れます。
「次のステップ:アクセス権限】ボタンを押下します。

「ユーザーをグループに追加」を選択し、adminのグループにチェックを入れてから「次のステップ:タグ」ボタンを押します。

内容に問題がなければ「ユーザーの作成」ボタンを押下します。

ルートアカウントとAdministratorAccessの違い

ルートアカウントとAdministratorAccessポリシーを持ったアカウントはほとんど同じ権限を持ちます。ここまで同じ権限を持っているとルートアカウントとAdministratorAccessポリシーは、どのような違いがあるのか気になります。
AdministratorAccessポリシーでは、以下のことが出来ません。
・ルートユーザーの詳細(メールアドレス等)の変更
・ルートアカウント(AWSアカウント)の削除
・請求情報に対する IAM ユーザーアクセスの許可
・などです
ここで、請求書の閲覧権限については管理グループには見れるようにしておきます。そうしないと、請求金額を見るためだけに、ルートアカウントにログインしないといけなくなるためです。

管理グループに請求書を見れるようにする

ルートアカウントにログインします。管理画面上にあるルートアカウント名をクリックしてドロップダウンを表示します。マイアカウントを押下します。

ページの真ん中あたりにある「IAM ユーザー/ロールによる請求情報へのアクセス」という項目を見つけ、「IAMアクセスのアクティブ化」にチェックを付けて「更新」ボタンを押します。

管理者グループのIAMユーザでログインして、請求情報が見れることを確認して下さい。クレジットカード情報は下4桁しか表示されませんので安心できます。

ルートアカウントの多要素認証(MFA)を有効にする

他要素認証(MFA)とは二段階認証のことです。他要素認証することで、ログイン時のセキュリティが格段に上がります。公式ページはこちら ⇒ 仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)

AWSの他要素認証(MFA)を有効にする方法

携帯を他要素デバイスとして利用しますので、携帯に以下のアプリをインストールします。
iPhoneの場合は、Google AuthenticatorというアプリをiPhoneにインストールします。
androidの場合は、Google認証システムというアプリをandroidにインストールします。

AWSにルートユーザでログインします。画面右上にあるルートアカウント名をクリックして、出てきたドロップダウンリストから「マイセキュリティ資格情報」を選択します。

他要素認証(MFA)の項目から「MFAの有効化」ボタンを押下します。

MFAデバイスの管理という表示が出ますので、割り当てるMFAデバイスのタイプにおいて「仮想MFAデバイス」を選択し、「続行」ボタンを押下します。

バーコードが表示されますので、バーコードを携帯にインストールした上記のアプリでスキャンします。
スキャン後に表示される6桁の数字を以下の「MFAコード1」に入力します。
しばらくすると、6桁の数字が変更されますので、今度は「MFAコード2」に入力します。
その後に「MFAの割り当て」ボタンを押下します。
(携帯等を複数持っている場合は、複数台でバーコードをスキャンして利用できるようにした方が、携帯をなくした場合に便利かもしれません。複数の携帯でも同じ6桁の数字が表示されるので安心できます。)

割り当てが成功すると以下の画面になりますので、「閉じる」ボタンを押します。

以上でAWSの他要素認証の設定は完了です。試しに、一度ログアウトしてから、再度ルートアカウントでログインして下さい。ログインする際に以下の確認が追加されますので、携帯のアプリを確認してMFAコードを入力してからAWSにログインしてください。

また、他のIAMユーザに対しても他要素認証を設定した方がよいです。

携帯をなくしてしまった場合

携帯をなくしてしまった場合は、以下の公式ページを見てAWSにログインすることが出来ます。
MFA デバイスの紛失および故障時の対応

AWS

Posted by パソコンの先生