Upgrade to Pro — share decks privately, control downloads, hide ads and more …

個人検証アカウントでも最低限設定したいプラクティス

t.kizawa
January 30, 2024

 個人検証アカウントでも最低限設定したいプラクティス

2024/1/30開催
JAWS-UG 東京支部「AWS個人検証アカウントどう運用してる? ランチ共有会」

t.kizawa

January 30, 2024
Tweet

More Decks by t.kizawa

Other Decks in Technology

Transcript

  1. ▪ 名前 : 木澤 朋隆 (きざわ ともたか) 所属 : とあるSIer

    担当業務: ① AWSアーキテクト ② マーケティング施策の企画・運営・登壇 ③ 社内エンジニアへの支援活動(情報提供など) 第4740号 NEW! 自己紹介
  2. ▪ 私の個人アカウントの利用用途 Page.4 本番用途 検証用途 • 個人ブログサイト環境 (Amazon CloudFront /

    AWS WAF / Amazon EC2 ) • オンプレミスのNAS (Synology) のバックアップ (Amazon S3 Glacier Instant Retrieval) • AWSブログを巡回して、アップデートを通知するスクリプト (AWS Lambda / Amazon Translate / Amazon SNS等 ) • ハンズオン参加時や、ブログ記事執筆向けの検証環境 • 「会議脱出ボタン」 デモ環境 (AWS Lambda / Amazon Connect )
  3. ▪ 従来の構成/運用の課題 Page.5 AWS Cloud ap-northeast-1 (東京リージョン) AWSアカウント us-west-2 (オレゴンリージョン)

    本番環境 検証環境 便宜的にリージョンで本番/検証環境を分け運用 東京リージョン : 本番環境 オレゴンリージョン : 検証環境 本運用にて若干の問題が発生 IAM設定が混ざる 一部、リージョン指定があるハンズオンコンテンツの利用 本番環境への影響の懸念のため思い切った検証ができず 構成を見直し、改善を実施
  4. ▪ 主な実装内容 Page.6 ① 本番/検証環境のアカウント分離 ② セキュリティ運用の実施 • “おひとりさま AWS

    Organizations” の立ち上げ • 検証環境のアカウント分離 • 不要リージョン利用の抑止 • AWS IAM Identity CenterによるSSO環境の構築 AWS Organizations AWS IAM Identity Center • AWS CloudTrailによる証跡保存 • Amazon GuardDutyによる脅威検出 • AWS Configによる設定変更履歴の記録と評価 • AWS Security Hubによる統合管理 • ログイン通知の実施 AWS CloudTrail Amazon GuardDuty AWS Config AWS Security Hub
  5. ▪ おひとり様 AWS Orgnizationsの立ち上げ Page.8 AWS Cloud ap-northeast-1 (東京リージョン) AWSアカウント

    us-west-2 (オレゴンリージョン) 本番環境 検証環境 AWS Cloud AWSアカウント(本番) 本番環境 検証環境 AWSアカウント(検証) AWS Organizations AWS Organizationsを利用したアカウント分離の主なメリット 設定や課金が混ざらない アカウント内がゴチャゴチャになった際は、いつでもアカウント廃止できる 課金は統合されており一括請求 新規アカウント向け無料枠 (12ヶ月間)
  6. ▪ 個人検証でのアカウント構成のベストプラクティス Page.9 管理アカウントにはSCP(サービスコントロールポリシー)が適用できず、統制が掛けられない。 (SCPの例 : 不要なリージョンの利用を制限) 管理アカウントはAWS Organizationsや管理サービスに限定すべき。 AWS

    Control Towerを利用し、AWSが推奨するベストプラクティスのアカウント構成を適用しても良い (が、個人検証アカウントではオーバースペック?) AWS Organizations 私のアカウント 本来こうあるべき AWS Organizations 本番環境 検証環境 管理アカウント 本番環境アカウント 本番環境 検証環境 検証検証アカウント 管理アカウント(兼 本番環境) 検証環境アカウント
  7. ▪ AWS IAM Identity CenterによるSSO Page.10 IAM Identity Centerのメリット 複数AWSアカウントへのSSO

    SAML 2.0対応 外部サービスとのSSO統合もできる MFAデバイスとしてOSの生体認証デバイスが使える (Windows Hello / Mac TouchID等) 設定手順(ご参考) AWS Organizations導入後は、合わせてIAM Identity Centerも導入しましょう!! ※ 最近はIAM Identity Center前提のAWSサービスも多い。 AWS Managed Service for Grafana / AWS Supply Chain / Amazon Monitron等
  8. ▪ AWSアカウントで対応したいセキュリティ設定 Page.12 AWS CloudTrail AWSアカウントの操作ログを記録し継続的に監視 証跡の保存 (AWS Organization全体/マルチリージョン対応) AWS

    Config AWSリソースの設定変更履歴の記録と評価 Amazon GuardDuty AWSアカウントやワークロードの保護、脅威検知 AWS Security Hub セキュリティアラートの一元的な表示および管理、チェックの自動化 有効化 (利用するリージョンごとに設定。Config RulesはAWS Security Hub統合で導入される) 脅威検出の有効化 (利用するリージョンごとに設定) セキュリティ標準に則った適合の確認。通知設定
  9. ▪ 構成 Page.13 AWS Cloud AWSアカウント(管理/本番) 本番環境 検証環境 AWSアカウント(検証) AWS

    Organizations リージョン①(集約リージョン) リージョン② AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty リージョン① リージョン② AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub 検出結果の 集約 AWS Organizations内全アカウント/全(利用)リージョン内の、Amazon GuardDuty/AWS Configの検出結果を 管理アカウント(もしくは委任アカウント)のSecurity Hubにて統合管理する。 ご参考:クラスメソッド臼田さんのブログ https://dev.classmethod.jp/articles/security-hub-cross-region-compliance-aggregation/
  10. ▪ 各サービスの設定方法 (AWS CloudTrail / AWS Config / Amazon GuardDuty)

    Page.14 AWSハンズオン資料(Hands-on for Beginners)の、 「アカウント作成後すぐやるセキュリティ対策」 がわかりやすく、神動画だと思っているので こちらをオススメします。