Bot運用初心者のためのAWSセキュリティ設定２(ユーザーアカウント設定編)

Bot運用初心者のためのAWSセキュリティ設定1の続きです。

4. ユーザーアカウント設定

4.1 ユーザーアカウントの作成

IAMと入力しIAMを開きます。

個々のIAMユーザー作成より、ユーザー管理をクリックします。

 ユーザーを追加ボタンを押してユーザー追加を開始します。
※私の場合は既に設定すみのためユーザーがいます。

赤枠部の"ユーザー名"は任意で入力。
"アクセスの種類"は「AWSマネージメントコンソールへのアクセス」のみチェック
"コンソールパスワード"と"パスワードのリセットが必要"は「カスタムパスワード」+「チェックなし」がおすすめです。
入力完了したら次のステップをクリックしてください。

以上ユーザが作成できますが、このままでは、何のサービスも使用もできませんので、アクセス権を設定しましょう。

4.2 アクセス権の設定

グループを作成をクリックしてください。

管理者グループをつくります。
グループ名をadmin_groupなど(なんでも何)とし、"AdministratorAccess"にチェックをいれて、グループ作成をクリックします。

グループ作成をクリックすると、もとの画面にもどり、先程作成したグループが表示されているので、チェックをいれます。
右下(スクロールしてください。)の次のステップをクリックしてください。

一連の操作の確認がでますので、問題なければ、ユーザー作成をクリックします。

画面に成功と表示されればOKです。
画面中央付近に表示されるURLは今後ログインする時につかいますのでブックマークしておいてください。

ここまでで、ユーザーの作成が完了したので、上記のURLからユーザーアカウントでログインすれば、使用可能だが、APIキーなどをあつかうので、MFAの設定をしておいたほうがいい。また、このままでは請求書がみれないため、請求額を確認したいときは毎回ルートアカウントにログインする必要があり面倒なので、請求書をみれる権限を与える処理が必要となります。。
ひき続いてそちらの、手順を解説します。

4.3 ユーザーアカウントにMFA(多要素認証)を設定する。

スマートフォンの設定ができていない場合は、こちらを参考にスマートフォンの設定をしてください。

IAMからユーザーをクリック

設定を行うユーザー名をクリック

認証情報をクリック

MFAデバイス割り当ての右の鉛筆マークをクリック

仮想MFAデバイスを選択して、次のステップをクリック

次ダイアログ、スマホアプリがいるよといっているだけなので、次のステップをクリックします。

QRコードが表示される画面なったら、スマホでAuthyを開きSCAN QRでQRコードを読取ます。

表示名等を設定し、数字6桁表示される画面になったら、OKです。
この数字は30秒から1分くらいで、次々変更されていきます。

この状態になったら、AWSにもどり、承認コード1に今表示されている数字を入力します。
しばらく待って、数字が切り替わったら、承認コード2に表示されている数字を入力し、仮想MFAの有効化をクリックします。

おなじスマホにルートアカウントとユーザーあたえ—

もとの画面に戻り、MFAデバイスの割り当てにかきのような文字列が入ればOK.

これで、MFAの設定は完了です。

4.4 ユーザーアカウントでサインインする。

4.2の最後でブックマークしてもらったものかIAMに入ってすぐ表示されるリンクを一度サインアウトしてから開きます。

右上のコンソールへログインをクリック

空欄をうめてサインインをクリック

スマホから6桁の番号を入力して完了です。

ここまででやっと普段使いができるようになりました。
AWSではもっと複雑で厳しいセキュリティ設定などもできますが、初心者向ではありません。この設定でも十分ではない部分もあると思います。
その中でも、ユーザーパスワード、MFAの設定は非常にセキュリティ効果の高い設定になりますので、是非とも実施し被害にあわないようにしていただきたいと思っています。