個人のAWSアカウントを作って5年くらい経ってしまったけど平成が終わる前に最初にやっておくことをメモとして残しておく。

• IAMの調整
• ルートアクセスキーの削除
• ルートアカウントのMFA設定
• パスワードポリシーの設定
• IAM User ・ Group の設定/権限の制御
※IAM のベストプラクティス - AWS Identity and Access Managementをもとに設定する。
• CloudTrailの有効化
• AWS Configの有効化
• GuardDutyの有効化

最初にやること

IAMの調整

マネジメントコンソールにログインし、IAMの設定画面に遷移する。

2019/4時点では「ダッシュボード」に「セキュリティステータス」が表示されているので、これのチェックがOKになるように設定する。

ルートアクセスキーの削除

1. 2019/4時点では「ダッシュボード」に「セキュリティステータス」欄の「ルートアクセスキーの削除」を開くと「セキュリティ認証情報の管理」ボタンが出てくるので、これを押下する。
2. セキュリティ認証情報ページにアクセスしようとしている旨のメニューが出るが、「Continue Security Credentials」を押下する。
3. 「アクセスキー (アクセスキー ID とシークレットアクセスキー)」を開き、アクセスキーを削除する。

ルートアカウントのMFA設定

多要素認証によりセキュアになるが、仮想MFAデバイスを紛失したりするとサポート問い合わせ行きになるので注意。

• AWS アカウントのルートユーザー - AWS Identity and Access Management
• MFA デバイスの紛失および故障時の対応 - AWS Identity and Access Management

パスワードポリシーの設定

IAMの設定画面の左メニューから「アカウント設定」を選択し、下記を決める必要がある。

• パスワードの最小長
• 少なくとも 1 つの大文字が必要
• 少なくとも 1 つの小文字が必要
• 少なくとも 1 つの数字が必要
• 少なくとも 1 つの英数字以外の文字が必要
• ユーザーにパスワードの変更を許可
• パスワードの失効を許可
• パスワードの有効期間（日数）
• パスワードの再利用を禁止
• 記憶するパスワードの数

IAM User ・ Group の設定/権限の制御

• AWS アカウントでの IAM ユーザーの作成 - AWS Identity and Access Management
• IAM グループの作成 - AWS Identity and Access Management

CloudTrailの有効化

• コンソールによる AWS Config の設定 - AWS Config

AWS Configの有効化

• CloudTrail の使用開始 - AWS CloudTrail

GuardDutyの有効化

• Amazon GuardDuty でデータソースを使用する方法 - Amazon GuardDuty

参考

• IAM のベストプラクティス - AWS Identity and Access Management
• JAWS-UG初心者支部#2　AWSでアカウント作ったら最初にやるべきこと