Bot運用初心者のためのAWSセキュリティ設定１(ルートアカウント設定編)

akaikaze

2018年4月22日 15:59

dotenkunを購入してBot運用始をはじめ、AWSを使用しはじめた方がたくさんいらっしゃると思います。過去にAWS初心者が乗っ取りや不正利用をされ、高額請求をされたというはなしはたくさんあります。

備えあれば憂いなし。そうならないための設定を書いていきます。

1. ルートアカウント

AWSに登録したときにログインできるアカウントのことです。
ルートアカウントはAWSで実行できる全てのことを実行できる権限のあるユーザーです。

裏返せばこのアカウントをのっとれば、このアカウントで運用しているビットコインbotをのっとり、不正に購入して送金したり、高額なサーバーを勝手に利用して、計算をじっこうしたり、挙句には、ウイルスやサイバー攻撃の踏み台にされたりできます。

ルートアカウントは余程でないかぎり使用せず、別IDを取得し、そちらをメインにつかいます。

2. ルートアカウントのセキュリティ対策

2.1ルートパスワードの変更

パスワードが8桁以下、推測されやすいパスワードを使用している場合は変更しましょう。
パスワードの目安として

(1)推測しにくい文字列にする
(2)数字や記号、大文字などを混ぜる
(3)パスワードを使いまわさない
(4)最低8文字以上にする

がありますが、機械が総当たりする場合は(1),(2)は効果がうすいといわれつつあります。最も効果があるのはこちらにも書かれているような、長いパスワードだそうです。ここまでしなくても、10文字以上を設定されるのが良いとおもいます。わたしは、12～16文字のランダム生成パスワードを使用しています。

2.1.1 パスワード変更方法

まず、ルートアカウントでログイン後、右側のメールアドレスをクリックしてアカウントを選びます。

アカウント設定の項目の編集をクリックします

Editをクリックしてパスワードを変更してください。

ルートパスワードの変更ができました。

2.2 ルートアクセスキーの削除

ルートアクセスキーはこれを持っていれば、何でもできる。パスワードと同等の意味をもつものです。初心者が使うことはないので、削除してしまえばOKです。なお、初期設定で作成していない方は、確認後読み飛ばして下さい。

まず、IAM(Identity and Access Management)を開きます。
開きかたは、サービスの検索欄に『IAM』と打ってでてきたものをクリックです。

IAMを開くと中央下側にセキュリティステータスが表示されています。
設定した覚えがなければ全てのチェックボックス

ルートアクセスキーの削除の項を開きセキュリティ情報の管理をクリックしま

よくわからない警告がでてきますが、セキュリティ商人情報に進むをクリックで

アクセスキーを開くと、キーある場合はキーの作成日やIDが表示されます。
右側のアクションから削除をクリックしてください。

こちらも警告がでますが、「はい」をクリックしてください。

削除が完了していると、ステータスが削除済になります。

ルートアクセスキーの削除が完了です。

2.3 ルートアカウントにMFA(多要素認証)を設定する。

万が一、パスワードが突破されても、ログインできないようにするために、MFA(多要素認証)を設定します。多要素認証では手元にあるデバイス(大体はスマホ)に専用ワンタイムパスワード生成アプリを入れ、そちらと、AWSのアカウントをひも付けを行いアプリに表示されている番号入力しないとログインできないようにします。

2.3.1 スマートフォンの設定

スマホ用のアプリではAuthyかgoogleの認証アプリがよく使われているようです。
Authy IOS
Authy android
Google 承認 IOS
Google 承認 andoroid
説明はAuthy androidでしますが、基本的にどれも使い方は一緒です。

説明に入る前に注意すべきことが一つあります。
スマホを機種変更する場合は必ず、MFAの設定を新しいスマホでやりなおすようにしてください。設定変更をせずにしておいた場合、最悪2度とログインができなくなります。（実際は別の承認でログインできるのですが、面倒ですので・・・）Authyの場合、電話番号が一緒であれば、設定含め引き継げるので、Googleよりよいようです。

Authyをインストールして立ち上げてください。
最初の入力は電話番号ですので、codeのところに国コード（81）を入力または選択し、最初のゼロを抜いた10桁の電話番号を入力