Slide 1
Slide 1 text
AWSアカウントで最初にやるべきこと
〜2022年6⽉版〜
2022.7.25
AWS事業本部 コンサルティング部 yhana
Slide 2
Slide 2 text
2
概要
AWSで最初にやる設定を
「ログ・モニタリング」「セキュリティ」「契約・コスト 」
の観点で紹介
Slide 3
Slide 3 text
3
概要
の2022年更新版
https://dev.classmethod.jp/articles/aws-1st-step-2021/
Slide 4
Slide 4 text
4
話すこと/話さないこと
話すこと 最初にやることを広く浅く紹介
話さないこと AWSアカウントの開設⼿順
各サービスの詳細な設定⽅法
各サービスの料⾦
代わりにブログや参考資料を紹介︕
Slide 5
Slide 5 text
5
AWSアカウント開設
https://dev.classmethod.jp/articles/create-an-aws-account-2021/
Slide 6
Slide 6 text
6
やること⼀覧
Slide 7
Slide 7 text
7
やることのカテゴリ
ログ・モニタリング
セキュリティ
契約・コスト
その他
Slide 8
Slide 8 text
8
やることのレベル設定
MUST 必須レベルでやること
SHOULD やったほうがいいこと
MAY 条件によってやる/やらないが決まること
INFO 関連する役⽴ち情報
Slide 9
Slide 9 text
9
やることの料⾦
$ 有料
$ 基本無料 + オプション機能が有料
設定は無料 + 連携サービス (S3等) が有料
記載なし 無料、もしくは、極めて安価
Slide 10
Slide 10 text
10
レベル設定は個⼈の⾒解です
料⾦は設定等により変わるため参考情報です
やること⼀覧はAWSと直接契約した場合の内容です
AWSパートナーとの契約時は⼀部が異なる可能性が
あることにご注意ください
注意事項
Slide 11
Slide 11 text
11
ログ・モニタリング
サービス名 内容 レベル
AWS CloudTrail ログ⻑期保管のための設定(証跡の作成) MUST
CloudTrail Insights の有効化 SHOULD
Athena のテーブル作成 MAY
Amazon EventBridge マネジメントコンソールのサインイン通知 MAY
AWS Config 有効化(レコーダーの作成) MUST
Config ルールの作成 MAY
$
$
$
$
$
AWSリソース操作の記録
Slide 12
Slide 12 text
12
サービス名 内容 レベル
AWS Health Dashboard 通知設定 SHOULD
AWS Trusted Advisor 通知設定 MAY
Amazon DevOps Guru 有効化 MAY
Amazon S3 Storage Lens ダッシュボードの作成 MAY
ログ・モニタリング
$
$
$
AWSサービス/アプリケーションのモニタリング
Slide 13
Slide 13 text
13
セキュリティ
サービス名 実施内容 レベル
AWS IAM (ルートユーザー) MFA 認証の設定 MUST
アクセスキーの削除 MUST
AWS IAM IAM パスワードポリシーの設定 MUST
IAM ユーザー/グループの作成 MUST
MFA 認証の設定 MUST
アカウントエイリアスの作成 MAY
AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD
マネジメントコンソール IP アドレス制限 MAY
ユーザー管理のセキュリティ
Slide 14
Slide 14 text
14
セキュリティ
サービス名 実施内容 レベル
Amazon GuardDuty 有効化 SHOULD
S3/Kubernetes 保護の有効化 SHOULD
信頼されている/驚異IPリストの作成 MAY
通知設定 SHOULD
AWS Security Hub 有効化 SHOULD
通知設定 MAY
Amazon Detective 有効化 SHOULD
$
$
$
$
$
セキュリティイベントの検出と調査
Slide 15
Slide 15 text
15
セキュリティ
サービス名 実施内容 レベル
Amazon VPC デフォルト VPC の削除 SHOULD
Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY
Amazon S3 アカウントのブロックパブリックアクセス設定 MAY
個別サービスのセキュリティ設定
$
Slide 16
Slide 16 text
16
契約・コスト
サービス名 内容 レベル
マイアカウント お⽀払い通貨の設定 -
秘密の質問の設定 SHOULD
代替の連絡先の設定 MAY
デフォルト無効リージョンの確認 INFO
AWS Artifact 準拠法を⽇本法に変更 -
AWS サポート 必要なサポートに加⼊ MAY
$
アカウント設定とサポート
Slide 17
Slide 17 text
17
契約・コスト
サービス名 内容 レベル
AWS Cost Explorer 有効化(起動) SHOULD
時間単位とリソースレベルのデータを有効化 MAY
サイズの適正化に関する推奨事項を有効化 SHOULD
AWS Compute Optimizer 有効化 SHOULD
AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD
AWS Budgets 予算アラートの設定 SHOULD
予算レポートの設定 MAY
$
$
$
$
コスト管理
Slide 18
Slide 18 text
18
契約・コスト
サービス名 内容 レベル
請求コンソール (Billing) Cost and Usage Reports の有効化 MAY
コスト配分タグの設定 MAY
PDF 請求書の設定 MAY
無料利⽤枠の使⽤アラートの設定 MAY
請求アラートの設定 INFO
マイアカウント IAM ユーザーによる請求情報へのアクセス設定 MAY
$
$
コスト管理
Slide 19
Slide 19 text
19
その他
カテゴリ 内容 レベル
アカウントの全般設定 ⾔語、デフォルトリージョン、お気に⼊りバーの設定 MAY
リソース命名規則 ⼤まかな命名規則の決定 SHOULD
辞書登録 よく使う AWS 単語の辞書登録 INFO
その他の検討事項
Slide 20
Slide 20 text
20
AWS利⽤経験に応じた本資料の活⽤例
AWS利⽤経験 本資料の使い⽅の例
AWSを触り始めたばかりの⽅
重要なデータをAWS上に保管しない場合、始めは次の設定
を確認し、他の項⽬は後で徐々に理解を深めながら確認し
ていただく
・MUSTの項⽬
・マイアカウントの項⽬
・AWS Cost Explorer
・AWS Budgets
AWSをある程度利⽤されている⽅
⾃⾝の環境チェックや企業におけるアカウント発⾏時の
ベースライン設定検討の参考にしていただく
Slide 21
Slide 21 text
21
ログ・モニタリング
Slide 22
Slide 22 text
22
AWSリソース操作の記録
Slide 23
Slide 23 text
23
ログ・モニタリング
サービス名 内容 レベル
AWS CloudTrail ログ⻑期保管のための設定(証跡の作成) MUST
CloudTrail Insights の有効化 SHOULD
Athena のテーブル作成 MAY
Amazon EventBridge マネジメントコンソールのサインイン通知 MAY
AWS Config 有効化(レコーダーの作成) MUST
Config ルールの作成 MAY
$
$
$
AWSリソース操作の記録
Slide 24
Slide 24 text
24
CloudTrail
CloudTrailとは
AWSを「誰が」「いつ」「何に」対して「どうような」操作をしたのかを
記録するサービス(ログ記録)
ログを⻑期間保存していないと・・・
トラブルやインシデント発⽣時に解析ができない
セキュリティ監査ができない
Slide 25
Slide 25 text
25
CloudTrail
例)マネジメントコンソールへのサインインイベント
Slide 26
Slide 26 text
26
CloudTrail
例)EC2インスタンスの起動イベント
実態は JSON 形式
いつ誰が起動したか
Slide 27
Slide 27 text
27
CloudTrailの設定
「証跡の作成」を⾏ってログを⻑期保管(デフォルトは過去90⽇間)
1つのリージョンの設定で全リージョンの有効化が可能
ログファイルの検証は有効化を推奨
ログの暗号化設定を検討
対象イベントは最低限「管理イベント」の「読み取り」「書き込み」はほしい
Insightsもイベント対象に追加(あとで)
Slide 28
Slide 28 text
28
CloudTrailの設定(証跡の作成)
https://www.youtube.com/watch?v=erDYixgVJ0o
Slide 29
Slide 29 text
29
CloudTrail Insights
CloudTrail Insightsとは
機械学習によりAWS上の異常なアクティビティを検出するサービス
通常の操作でも検知されることもあるため、はじめは試してみて
あまり利⽤しないようでれば無効化もあり(コスト削減となる)
Slide 30
Slide 30 text
30
CloudTrail Insights
例)短い時間での
Network ACLの
連続削除を検知
Slide 31
Slide 31 text
31
CloudTrailのS3/CloudWatch Logs転送
CloudTrailのログ転送先
転送先 ⽬的 備考
S3 ⻑期的な保管 -
CloudWatch Logs 回数条件でアラートを作成したい場合など オプション
Slide 32
Slide 32 text
32
CloudTrailのS3/CloudWatch Logs転送
S3保管の考慮事項
保存期間 管理 → ライフサイクルルール から設定
暗号化 プロパティ → デフォルトの暗号化 から設定
アクセス制御 アクセス許可 から設定
アクセスログ プロパティ → サーバーアクセスのログ記憶 から設定
オブジェクトロック バケット作成時に有効化(あとから有効はサポート)
Slide 33
Slide 33 text
33
AthenaによるCloudTrailイベント検索
Athenaとは
SQLを使⽤してS3のデータを検索できるサービス
CloudTrailサービスからAthenaテーブル作成を実⾏して利⽤
有料(検索した容量に応じた課⾦)
Slide 34
Slide 34 text
34
AthenaによるCloudTrailイベント検索
https://dev.classmethod.jp/articles/cloudtrail-athena/
Slide 35
Slide 35 text
35
CloudTrail の参考情報
種別 タイトル(リンク)
技術情報 [アップデート] CloudTrail Insights で異常アクティビティの統計情報が提供されるよう
になりました
技術情報 Amazon S3の暗号化について調べてみた。
技術情報 S3オブジェクトのロック(なにをどうやっても改竄削除が不可)がリリースされま
した︕ #reinvent
料⾦ 料⾦ - AWS CloudTrail | AWS
Slide 36
Slide 36 text
36
ログ・モニタリング
サービス名 内容 レベル
AWS CloudTrail ログ⻑期保管のための設定(証跡の作成) MUST
CloudTrail Insights の有効化 SHOULD
Athena のテーブル作成 MAY
Amazon EventBridge マネジメントコンソールのサインイン通知 MAY
AWS Config 有効化(レコーダーの作成) MUST
Config ルールの作成 MAY
AWSリソース操作の記録
Slide 37
Slide 37 text
37
マネジメントコンソールのサインイン通知
EventBridgeを利⽤してマネジメントコンソールへのサインインを通知
メールやSlackなどへ通知可能
Slide 38
Slide 38 text
38
マネジメントコンソールのサインイン通知の作成
https://dev.classmethod.jp/articles/aws-management-console-sign-in-notice/
Slide 39
Slide 39 text
39
ログ・モニタリング
サービス名 内容 レベル
AWS CloudTrail ログ⻑期保管のための設定(証跡の作成) MUST
CloudTrail Insights の有効化 SHOULD
Athena のテーブル作成 MAY
Amazon EventBridge マネジメントコンソールのサインイン通知 MAY
AWS Config 有効化(レコーダーの作成) MUST
Config ルールの作成 MAY
$
$
AWSリソース操作の記録
Slide 40
Slide 40 text
40
Config
Configとは
AWSリソースのインベントリと変更の追跡を担うサービス
有効化していないと・・・
AWSリソースの変更履歴の追跡が⼤変
監査の⼿間が増加
Slide 41
Slide 41 text
41
Configのタイムライン表⽰
例)EC2のタイムライン
EC2起動
EC2起動
インスタンスタイプ変更
EC2停⽌
Slide 42
Slide 42 text
42
Configで設定変更の確認
例)EC2インスタンスに関する変更
変更前 変更後
Slide 43
Slide 43 text
43
Configの有効化
有効化はリージョン毎に設定
記憶するリソースタイプは選択可能(コスト次第だがすべてのリソース推奨)
グローバルリソースは1つのリージョンのみ有効でよい
メインで利⽤している
リージョン
他リージョン
Configの有効化作業 ○ ○
グローバルリソースを含める ○ -
Slide 44
Slide 44 text
44
Configの有効化
https://www.youtube.com/watch?v=E8GY09aEwnE&t=79s
Slide 45
Slide 45 text
45
Configルール
Configルールとは
リソースの設定内容を評価(監査)できるサービス
後述するSecurity Hubで対応できない要件に対しても活⽤できる
ルールの種別 概要 導⼊難易度
マネージドルール AWSが提供するConfigルール 易しい
カスタムルール ユーザーが作成するConfigルール 難しい
Slide 46
Slide 46 text
46
マネージドルールの例
例)restricted-ssh︓IPアドレス制限無しでSSH開放しているSGを検知
Slide 47
Slide 47 text
47
マネージドルールの例
マネージドルール名 概要
restricted-ssh
セキュリティグループの受信SSHトラフィック
のIPアドレスが制限されているかを確認
vpc-flow-logs-enabled
VPCに対してVPCフローログが有効になってい
るかを確認
rds-cluster-deletion-protection-enabled
RDSクラスターに対して削除保護が有効になっ
ているかを確認
Slide 48
Slide 48 text
48
Configの参考情報
種別 タイトル(リンク)
技術情報 AWS Config マネージドルールのリスト
料⾦ AWS Configの料⾦
Slide 49
Slide 49 text
49
AWSサービス/アプリケーションの
モニタリング
Slide 50
Slide 50 text
50
サービス名 内容 レベル
AWS Health Dashboard 通知設定 SHOULD
AWS Trusted Advisor 通知設定 MAY
Amazon DevOps Guru 有効化 MAY
Amazon S3 Storage Lens ダッシュボードの作成 MAY
ログ・モニタリング
AWSサービス/アプリケーションのモニタリング
Slide 51
Slide 51 text
51
AWS Health Dashboard
AWS Health Dashboardとは
AWSのサービス全般、もしくは、アカウントに関連したサービスが
障害やメンテナンスの影響を受けているか確認できるサービス
2022年にService Health DashboardとPersonal Health Dashboard
が統合されてAWS Health Dashboardになった
Slide 52
Slide 52 text
52
AWS Health Dashboard
AWSサービス全体の確認
各サービスの障害有無
Slide 53
Slide 53 text
53
AWS Health Dashboard
個別のアカウントに関する確認
Slide 54
Slide 54 text
54
AWS Health Dashboard
障害の表⽰例
ステータス(状況)
イベント概要
対応状況の時系列
タブメニューで「影響を
受けるリソース」確認可
Slide 55
Slide 55 text
55
AWS Health Dashboardの通知設定
Amazon EventBridgeルールを利⽤して通知ができる
設定⽅法はAWSユーザーガイド参照
Amazon EventBridge を使⽤した AWS Health イベントのモニタリング
Slide 56
Slide 56 text
56
サービス名 内容 レベル
AWS Health Dashboard 通知設定 SHOULD
AWS Trusted Advisor 通知設定 MAY
Amazon DevOps Guru 有効化 MAY
Amazon S3 Storage Lens ダッシュボードの作成 MAY
ログ・モニタリング
$
AWSサービス/アプリケーションのモニタリング
Slide 57
Slide 57 text
57
Trusted Advisor
Trusted Advisorとは
コスト最適化、パフォーマンス、セキュリティ、対障害性、サービスの制限
に関して推奨事項に沿っているか確認してくれるサービス
無料(⼀部の項⽬は有料のサポート契約が必要)
すべてのチェック項⽬利⽤にはビジネスサポートプラン以上が必要
Slide 58
Slide 58 text
58
Trusted Advisor
例)セキュリティのチェック項⽬
Slide 59
Slide 59 text
59
Trusted Advisor
連絡先へのメール通知設定
Slide 60
Slide 60 text
60
サービス名 内容 レベル
AWS Health Dashboard 通知設定 SHOULD
AWS Trusted Advisor 通知設定 MAY
Amazon DevOps Guru 有効化 MAY
Amazon S3 Storage Lens ダッシュボードの作成 MAY
ログ・モニタリング
$
AWSサービス/アプリケーションのモニタリング
Slide 61
Slide 61 text
61
DevOps Guru
DevOps Guruとは
機械学習により運⽤パターンから逸脱したアプリケーション動作を
検出するサービス
事後(異常が発⽣した後)と予測(異常が発⽣する前)の両⽅を検出
有料
Slide 62
Slide 62 text
62
DevOps Guru
例)DynamoDBのスロットルに関する異常を検出
Slide 63
Slide 63 text
63
DevOps Guru
例)関連するイベント情報から異常となる直前の操作(原因)を確認
Slide 64
Slide 64 text
64
DevOps Guru の有効化
https://dev.classmethod.jp/articles/amazon-devops-guru-ga/
Slide 65
Slide 65 text
65
DevOps Guru の参考情報
種別 タイトル(リンク)
技術情報 Amazon DevOps Guru の特徴
料⾦ Amazon DevOps Guru の料⾦
Slide 66
Slide 66 text
66
サービス名 内容 レベル
AWS Health Dashboard 通知設定 SHOULD
AWS Trusted Advisor 通知設定 MAY
Amazon DevOps Guru 有効化 MAY
Amazon S3 Storage Lens ダッシュボードの作成 MAY
ログ・モニタリング
$
AWSサービス/アプリケーションのモニタリング
Slide 67
Slide 67 text
67
S3 Storage Lens
S3 Storage Lensとは
S3の使⽤状況とアクティビティの傾向を可視化し、
コストやデータ保護に関する推奨事項の提案をしてくれるサービス
⼀部無料(⾼度なメトリクスとレコメンデーションは有料)
デフォルトで⼀つのダッシュボードが作成済み(まずはこれを試す)
Slide 68
Slide 68 text
68
S3 Storage Lens
例)S3の利⽤状況の概要
Slide 69
Slide 69 text
69
S3 Storage Lens
例)各バケットのストレージサイズの分析
バケット毎の
ストレージ合計サイズ
オブジェクトサイズと
オブジェクト数の
バブル分析
Slide 70
Slide 70 text
70
S3 Storage Lensの設定
https://dev.classmethod.jp/articles/amazon-s3-storage-lens/
Slide 71
Slide 71 text
71
S3 Storage Lensの参考情報
種別 タイトル(リンク)
料⾦ Amazon S3 の料⾦
Slide 72
Slide 72 text
72
セキュリティ
Slide 73
Slide 73 text
73
ユーザー管理のセキュリティ
Slide 74
Slide 74 text
74
セキュリティ
サービス名 実施内容 レベル
AWS IAM (ルートユーザー) MFA 認証の設定 MUST
アクセスキーの削除 MUST
AWS IAM IAM パスワードポリシーの設定 MUST
IAM ユーザー/グループの作成 MUST
MFA 認証の設定 MUST
アカウントエイリアスの作成 MAY
AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD
マネジメントコンソール IP アドレス制限 MAY
ユーザー管理のセキュリティ
Slide 75
Slide 75 text
75
ルートユーザー
ルートユーザーとは
アカウント作成に使⽤したメールアドレスとパスワードを使⽤するユーザー
すべてのAWSサービスとリソースへの完全なアクセス権を持つ
普段の作業には利⽤しないこと
サポート契約等、ルートユーザーにしかできない操作を⾏う場合のみ利⽤
Slide 76
Slide 76 text
通常作業時はルートではなく、IAMユーザー/グループを利⽤
IAMユーザーはAWSアカウント内で定義するユーザー
AWS アカウント
76
IAMユーザー
IAM グループ
IAM
ユーザ
IAM
ユーザ
IAM グループ
IAM
ユーザ
IAM
ユーザ
Slide 77
Slide 77 text
77
IAMポリシー
IAMグループに対して、役割に応じた権限(IAMポリシー)を付与
AWS アカウント
AdministratorAccess ViewOnlyAccess
IAM グループ
IAM
ユーザ
IAM
ユーザ
IAM グループ
IAM
ユーザ
IAM
ユーザ
Slide 78
Slide 78 text
78
IAMポリシー
IAMポリシーには、AWSが提供している「AWS管理ポリシー」と
ユーザーが作成する「カスタマー管理ポリシー」 がある
AWS管理ポリシー名 概要
AdministratorAccess AWSサービスとリソースへのフルアクセス権限
ViewOnlyAccess
すべてのAWSサービスのリソース、および、基本的なメタデータ
の閲覧権限
AmazonEC2FullAccess AWSマネジメントコンソールによるEC2へのフルアクセス権限
Slide 79
Slide 79 text
79
ルートユーザーのやるべきこと
ルートユーザーの推奨事項はIAMサービス上でレコメンドされる
1) MFA認証の設定
2) アクセスキーの削除
Slide 80
Slide 80 text
80
ルートユーザーのやるべきこと
ルートユーザーでアクセスキーは利⽤しない(作成済みの場合は削除)
https://console.aws.amazon.com/iam/home#/security_credentials
Slide 81
Slide 81 text
81
アクセスキー
アクセスキーとは
CLIやプログラムからAPIにリクエストする際に利⽤する認証情報
IAMユーザー単位で発⾏できる
利⽤する場合は定期的にキーを更新
利⽤しない場合は削除
Slide 82
Slide 82 text
82
IAMユーザーの設定
パスワードポリシーの作成
IAMグループ、IAMポリシーの作成
IAMポリシーを IAMグループにアタッチ
IAMユーザーを作成してIAMグループに所属
IAMユーザーのMFA認証の設定
Slide 83
Slide 83 text
83
パスワードポリシーの設定
セキュリティ要件に沿ったパスワードポリシーを設定
Slide 84
Slide 84 text
84
パスワードポリシーの設定
パスワードポリシーをIAMの「アカウント設定」から変更
Slide 85
Slide 85 text
85
IAMユーザーの設定
https://www.youtube.com/watch?v=XyAoL_2RHSU
Slide 86
Slide 86 text
86
アカウントエイリアス
アカウントエイリアス名でサインインができる
エイリアス名
マネジメント
コンソールの
サインイン
URLもエイリ
アス名でアク
セス可能
Slide 87
Slide 87 text
87
アカウントエイリアス
設定はIAMサービスから実施
Slide 88
Slide 88 text
88
IAMの参考情報
種別 タイトル(リンク)
技術情報 IT未経験の初⼼者がIAMを理解しようとしてみた
技術情報 AWS再⼊⾨ブログリレー AWS Identity and Access Management (IAM)編
料⾦ AWS Identity and Access Management (IAM) よくある質問
Slide 89
Slide 89 text
89
セキュリティ
サービス名 実施内容 レベル
AWS IAM (ルートユーザー) MFA 認証の設定 MUST
アクセスキーの削除 MUST
AWS IAM IAM パスワードポリシーの設定 MUST
IAM ユーザー/グループの作成 MUST
MFA 認証の設定 MUST
アカウントエイリアスの作成 MAY
AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD
マネジメントコンソール IP アドレス制限 MAY
ユーザー管理のセキュリティ
Slide 90
Slide 90 text
90
IAM Access Analyzer
IAM Access Analyzerとは
外部のAWSアカウントやIdP (Identity Provider) 等の外部エンティティに
対するアクセス許可状況を確認できるサービス
Slide 91
Slide 91 text
91
IAM Access Analyzerの運⽤
111122223333
アカウントID︓111122223333のIAMユーザー「test-user」に対して、
AdministratorAccess権限を与えている
意図して与えた権限なのかどうか確認
意図した権限の場合はアーカイブ、意図していない場合は対処
スキャン結果
Slide 92
Slide 92 text
92
IAM Access Analyzerの有効化
IAM サービスからリージョン毎に有効化
Slide 93
Slide 93 text
93
セキュリティ
サービス名 実施内容 レベル
AWS IAM (ルートユーザー) MFA 認証の設定 MUST
アクセスキーの削除 MUST
AWS IAM IAM パスワードポリシーの設定 MUST
IAM ユーザー/グループの作成 MUST
MFA 認証の設定 MUST
アカウントエイリアスの作成 MAY
AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD
マネジメントコンソール IP アドレス制限 MAY
ユーザー管理のセキュリティ
Slide 94
Slide 94 text
94
マネジメントコンソールのIPアドレス制限
IAMロールの機能を利⽤することで、
マネジメントコンソールへサインインできるIPアドレスを制限できる
https://dev.classmethod.jp/articles/20170215_amc-sourceip-restriction/
Slide 95
Slide 95 text
95
セキュリティイベントの検出と調査
Slide 96
Slide 96 text
96
セキュリティ
サービス名 実施内容 レベル
Amazon GuardDuty 有効化 SHOULD
S3/Kubernetes 保護の有効化 SHOULD
信頼されている/驚異IPリストの作成 MAY
通知設定 SHOULD
AWS Security Hub 有効化 SHOULD
通知設定 MAY
Amazon Detective 有効化 SHOULD
$
$
セキュリティイベントの検出と調査
Slide 97
Slide 97 text
97
GuardDuty
GuardDutyとは
AWSのイベントログやS3データイベント等を継続的にモニタリングして、
驚異を検知してくれるサービス
Slide 98
Slide 98 text
98
GuardDuty
例)EC2がC&C (Command and Control) サーバと通信していることを検知
Slide 99
Slide 99 text
99
GuardDutyの運⽤
検知結果に問題がある場合は対処
問題がない場合はアーカイブ
Slide 100
Slide 100 text
100
GuardDutyの有効化
GuardDutyサービスからリージョン毎に設定
Slide 101
Slide 101 text
101
GuardDutyの主なオプション機能と設定
オプション機能
信頼されているIPリスト/驚異IPリストの登録
S3/Kubernetes保護の有効化
設定
CloudWatch Eventsへのデータ送信間隔15分に変更 + 通知設定
S3バケットへのエクスポート設定
Slide 102
Slide 102 text
102
信頼されているIPリスト/驚異IPリストの登録
信頼できる/驚異となるIPアドレスを事前に登録しておくことで精度向上
TrustedIPAdressList.txt
54.20.175.217
205.0.0.0/8
Slide 103
Slide 103 text
103
信頼されているIPリスト/驚異IPリストの登録
https://dev.classmethod.jp/articles/guardduty-generate-findings-test/
Slide 104
Slide 104 text
104
S3/Kubernetes保護
S3保護とは
S3のデータに関する潜在的なセキュリティリスクを検出
Kubernetes保護とは
Amazon EKSクラスターの不審なアクティビティや潜在的なリスクを検出
2022年6⽉15⽇時点では両⽅ともデフォルト有効化
(過去に作成したアカウントはデフォルト無効化となっている可能性がある)
Slide 105
Slide 105 text
105
S3保護の検知例
例)TorからS3へのアクセスを検知
Slide 106
Slide 106 text
106
S3保護の設定
GuardDutyの設定画⾯から有効化
Slide 107
Slide 107 text
107
Kubernetes保護の設定
GuardDutyの設定画⾯から有効化
Slide 108
Slide 108 text
108
GuardDutyの通知設定
GuardDutyの検知結果にはC&Cサーバと通信している状態の検知など、
即座に対応が必要な場合があるため通知することを推奨
https://dev.classmethod.jp/articles/event-
notification-from-guardduty-easier-to-see/
https://dev.classmethod.jp/articles/guarddu
ty-event-filter/
Slide 109
Slide 109 text
109
更新された検出結果の頻度の設定
「更新された検出結果の頻度」を短くすることで再通知の時間をコントロール
通知設定をしている場合において、
⼀度検出された内容に更新(同じ内容でもう⼀度検知など)があったときの
再通知時間に影響
Slide 110
Slide 110 text
110
S3へのエクスポート
検出結果をS3にエクスポート可能(S3の料⾦発⽣)
他のアカウントにも転送して複数アカウントの結果を集約することも可能
集約後はAthenaやBIツール等により分析できる
https://dev.classmethod.jp/articles/guardduty-supports-exporting-findings-to-an-amazon-s3-bucket/
Slide 111
Slide 111 text
111
GuardDutyの参考情報
種別 タイトル(リンク)
技術資料 [2021年版]Amazon GuardDutyによるAWSセキュリティ運⽤を考える
技術資料 ⼀発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った
技術資料 [アップデート] Amazon GuardDuty で S3 への不審なアクティビティを脅威検出できる
ようになりました︕
料⾦ Amazon GuardDuty の料⾦
料⾦ 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた
Slide 112
Slide 112 text
112
セキュリティ
サービス名 実施内容 レベル
Amazon GuardDuty 有効化 SHOULD
S3/Kubernetes 保護の有効化 SHOULD
信頼されている/驚異IPリストの作成 MAY
通知設定 SHOULD
AWS Security Hub 有効化 SHOULD
通知設定 MAY
Amazon Detective 有効化 SHOULD
$
$
セキュリティイベントの検出と調査
Slide 113
Slide 113 text
113
Security Hub
Security Hubとは
1. セキュリティサービスのイベントを集約して⼀元管理する機能
2. セキュリティ基準に基づいてAWS環境をチェックする機能 (こちらを紹介)
有料(30⽇間の無料トライアルあり)
Slide 114
Slide 114 text
114
セキュリティ基準
事前定義されたセキュリティ基準(Security Standard)でAWS環境をチェック
⽬指せスコア 100%︕
Slide 115
Slide 115 text
115
セキュリティ基準
例)EC2 に関するチェック結果
Slide 116
Slide 116 text
116
セキュリティ基準の運⽤
基準を満たせていない「失敗」の項⽬を精査
対処をする、もしくは、対処不要な項⽬は「無効化」
セキュリティスコア 100%︕
Slide 117
Slide 117 text
117
対処不要な項⽬の無効化
例)EBS の暗号化がセキュリティ条件上必須でなくリスクを許容できる場合は
「無効化」により評価対象外とする
Slide 118
Slide 118 text
118
Security Hubの有効化
Security Hubサービスからリージョン毎に設定
Slide 119
Slide 119 text
119
Security Hubの有効化
セキュリティ要件が無い/未定の場合は、次の項⽬をとりあえず有効化
AWS基礎セキュリティのベストプラクティス
Slide 120
Slide 120 text
120
Security Hubの通知
各セキュリティサービスで検知したイベントはメールやSlackに通知できる
例)Security Hubのチェック結果を加⼯して通知したメール
Slide 121
Slide 121 text
121
Security Hubの通知設定
https://dev.classmethod.jp/articles/security-hub-events-lambda-sns-email/
Slide 122
Slide 122 text
122
GuardDuty の参考情報
種別 タイトル(リンク)
技術資料 [⼊⾨]社内勉強会で AWS Security Hubの話をしました
技術資料 [2021年版]AWS Security HubによるAWSセキュリティ運⽤を考える
技術資料
うわっ…私のセキュリティスコア低すぎ…︖Security HubのCISベンチマークの俺流
チューニングで100%準拠を⽬指す
料⾦ AWS Security Hub の料⾦
Slide 123
Slide 123 text
123
セキュリティ
サービス名 実施内容 レベル
Amazon GuardDuty 有効化 SHOULD
S3/Kubernetes 保護の有効化 SHOULD
信頼されている/驚異IPリストの作成 MAY
通知設定 SHOULD
AWS Security Hub 有効化 SHOULD
通知設定 MAY
Amazon Detective 有効化 SHOULD
$
セキュリティイベントの検出と調査
Slide 124
Slide 124 text
124
Detective
Detectiveとは
セキュリティイベントの調査・分析を⾏うサービス
GuardDutyと連携した調査ができる
有料(30⽇間の無料トライアルあり)
Slide 125
Slide 125 text
125
Detective
例)IAMユーザーの調査
成功/失敗した操作を確認できる
Slide 126
Slide 126 text
126
Detective
例)IAMユーザーの調査
Slide 127
Slide 127 text
127
Detective
GuardDutyのイベントから直接Detectiveを参照して調査可能
Slide 128
Slide 128 text
128
Detectiveの有効化
Detectiveサービスから利⽤するリージョン毎に設定
GuardDutyの有効化が前提(有効化後少なくとも48時間経過が必要)
2022年6⽉15⽇時点で⼤阪リージョン未サポート
Slide 129
Slide 129 text
129
Detectiveの有効化(CloudFormation)
https://dev.classmethod.jp/articles/enable-detective-cfn-stacksets/
Slide 130
Slide 130 text
130
Detectiveの参考情報
種別 タイトル(リンク)
技術資料 [アップデート] AWS 環境の調査がすこぶる捗る︕Amazon Detective が利⽤可能になっ
ていた︕(30⽇間の無料トライアル付き)
技術資料 [神ツール]セキュリティインシデントの調査が捗るAmazon DetectiveがGAしたのでメ
リットとオススメの使い⽅を紹介します
料⾦ Amazon Detective の料⾦
Slide 131
Slide 131 text
131
個別サービスのセキュリティ設定
Slide 132
Slide 132 text
132
セキュリティ
サービス名 実施内容 レベル
Amazon VPC デフォルト VPC の削除 SHOULD
Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY
Amazon S3 アカウントのブロックパブリックアクセス設定 MAY
個別サービスのセキュリティ設定
Slide 133
Slide 133 text
133
デフォルトVPC
各リージョンにはデフォルトでVPCが1個ずつ存在
利⽤しないリージョンではデフォルトVPCを削除
デフォルトVPCのサブネット設定はグローバルIPv4の⾃動割り当てが有効
削除により意図しないインターネット公開の危険性を少しでも低減可能
利⽤する場合はデフォルトのセキュリティグープの設定も⾒直す
Slide 134
Slide 134 text
134
デフォルトVPCの削除⽅法
https://dev.classmethod.jp/articles/tsnote-vpc-delete-default-resources/
Slide 135
Slide 135 text
135
セキュリティ
サービス名 実施内容 レベル
Amazon VPC デフォルト VPC の削除 SHOULD
Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY
Amazon S3 アカウントのブロックパブリックアクセス設定 MAY
個別サービスのセキュリティ設定
$
Slide 136
Slide 136 text
136
EC2 (EBS) のデフォルト暗号化設定
EBSはデフォルトで暗号化しない設定
デフォルトを暗号化有効に変更できる
AWS KMS のカスタマーマネージドキーを利⽤する場合は、キーの費⽤発⽣
デフォルトは暗号化しない設定
Slide 137
Slide 137 text
137
EC2 (EBS) のデフォルト暗号化設定
EC2ダッシュボードからリージョン毎に設定
Slide 138
Slide 138 text
138
セキュリティ
サービス名 実施内容 レベル
Amazon VPC デフォルト VPC の削除 SHOULD
Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY
Amazon S3 アカウントのブロックパブリックアクセス設定 MAY
個別サービスのセキュリティ設定
Slide 139
Slide 139 text
139
S3のアカウントのブロックパブリックアクセス設定
アカウントすべてのS3のパブリックアクセスを⼀括でブロックできる設定
S3オブジェクト(ファイル等)をインターネットに公開しないアカウントでは、
ブロック設定により誤った公開を防⽌できる
S3オブジェクトを公開するかどうか未定なアカウントに対しても、
始めにアカウントレベルのブロックパブリックアクセス設定を有効にしておき、
公開するときに無効化することで安全に運⽤できる
Slide 140
Slide 140 text
140
S3のアカウントのブロックパブリックアクセス設定
S3サービスから設定
Slide 141
Slide 141 text
141
S3のアカウントのブロックパブリックアクセス設定
オブジェクトを公開しようとした場合はエラー
Slide 142
Slide 142 text
142
契約・コスト
Slide 143
Slide 143 text
143
アカウント設定とサポート
Slide 144
Slide 144 text
144
契約・コスト
サービス名 内容 レベル
マイアカウント お⽀払い通貨の設定 -
秘密の質問の設定 SHOULD
代替の連絡先の設定 MAY
デフォルト無効リージョンの確認 INFO
AWS Artifact 準拠法を⽇本法に変更 -
AWS サポート 必要なサポートに加⼊ MAY
アカウント設定とサポート
Slide 145
Slide 145 text
145
マイアカウント設定
各種設定はからルートユーザーで「アカウント」変更
Slide 146
Slide 146 text
146
お⽀払い通貨の設定
必要に応じて、⽇本円の請求に変更
2022年6⽉15⽇時点ではデフォルト⽇本円(以前はUSドル)
デフォルトの設定(⽇本円)
Slide 147
Slide 147 text
147
秘密の質問の設定
アカウント所有者であることを確認するための「秘密の質問」を設定
⼀度設定すると削除できない、変更は可能
Slide 148
Slide 148 text
148
代替の連絡先の設定
必要に応じて、ルートユーザーのメールアドレス以外の連絡先を追加
例)経理担当やセキュリティ担当の関係者など
連絡先タイプ 連絡内容の例
請求 請求書の連絡
オペレーション サービスが利⽤できない場合の連絡
セキュリティ セキュリティ上の問題やセキュリティトピックの連絡
Slide 149
Slide 149 text
149
代替の連絡先の設定
Slide 150
Slide 150 text
150
デフォルト無効リージョンの確認
必要に応じて、デフォルト無効のリージョンを確認
Slide 151
Slide 151 text
151
契約・コスト
サービス名 内容 レベル
マイアカウント お⽀払い通貨の設定 -
秘密の質問の設定 SHOULD
代替の連絡先の設定 MAY
デフォルト無効リージョンの確認 INFO
AWS Artifact 準拠法を⽇本法に変更 -
アカウント設定とサポート
Slide 152
Slide 152 text
152
準拠法を⽇本法に変更
AWS カスタマーアグリメントのデフォルトの準拠法は⽶国ワシントン州法
2022年6⽉15⽇時点では、
AWS契約当事者が「Amazon Web Services Japan Godo Kaisha」の
場合は、準拠法は⽇本国法、管轄裁判所は東京地裁と定められている
AWS カスタマーアグリーメント
Slide 153
Slide 153 text
153
契約・コスト
サービス名 内容 レベル
マイアカウント お⽀払い通貨の設定 -
秘密の質問の設定 SHOULD
代替の連絡先の設定 MAY
デフォルト無効リージョンの確認 INFO
AWS Artifact 準拠法を⽇本法に変更 -
AWS サポート 必要なサポートに加⼊ MAY
$
アカウント設定とサポート
Slide 154
Slide 154 text
154
サポートに加⼊
要件に合うサポートに加⼊
主な違い 技術サポート体制
サポート問い合わせ⽅法
ケースの応答時間
Trusted Advisorのチェック項⽬数
料⾦
詳しいサポートプランの⽐較と料⾦はAWS公式ドキュメント参照
https://aws.amazon.com/jp/premiumsupport/plans/
Slide 155
Slide 155 text
155
コスト管理
Slide 156
Slide 156 text
156
契約・コスト
サービス名 内容 レベル
AWS Cost Explorer 有効化(起動) SHOULD
時間単位とリソースレベルのデータを有効化 MAY
サイズの適正化に関する推奨事項を有効化 SHOULD
AWS Compute Optimizer 有効化 SHOULD
AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD
AWS Budgets 予算アラートの設定 SHOULD
予算レポートの設定 MAY
$
$
コスト管理
Slide 157
Slide 157 text
157
Cost Explorer
Cost Explorerとは
実績コスト/予測コストの可視化サービス
無料だが、Cost Explorer APIの利⽤やオプション機能は有料
Slide 158
Slide 158 text
158
Cost Explorer
例)直近1週間のサービス別利⽤料
Slide 159
Slide 159 text
159
Cost Explorer
例)1週間後の予測コストの表⽰
Slide 160
Slide 160 text
160
Cost Explorerの有効化
請求コンソールもしくはAWSコスト管理画⾯から起動
Slide 161
Slide 161 text
161
Cost Explorer
2つのオプション設定
1) 時間単位とリソースレベルのデータ
2) サイズの適正化に関する推奨事項を受け取る
設定変更を⾏うにはCost Explorerを起動してから24時間程度が必要
Slide 162
Slide 162 text
162
時間単位とリソースレベルのデータ
初期設定は「毎時」表⽰や「リソース」単位の表⽰は選択できない
追加料⾦(毎⽉ UsageRecord 1,000 個あたり 0.01 USD)で利⽤可能
Slide 163
Slide 163 text
163
時間単位とリソースレベルのデータの有効化
AWSコスト管理の設定から有効化
Slide 164
Slide 164 text
164
サイズの適正化に関する推奨事項
CPU使⽤率等のメトリクス情報からEC2インスタンスの推奨タイプを提⽰
現在のタイプ
1vCPU
1GiBメモリ
推奨のタイプ
1vCPU
0.5GiB
Slide 165
Slide 165 text
165
サイズの適正化に関する推奨事項の有効化
AWSコスト管理の設定から有効化
Slide 166
Slide 166 text
166
Cost Explorerの参考情報
種別 タイトル(リンク)
技術資料 [アップデート] AWS Cost Explorer が時間単位およびリソースレベルの粒度で確認でき
るようになりました
技術資料 [アップデート]コスト最適化の決定版︕AWS Cost Explorerの推奨事項にAWS Compute
Optimizerが統合されました
料⾦ AWS Cost Explorer の料⾦
Slide 167
Slide 167 text
167
契約・コスト
サービス名 内容 レベル
AWS Cost Explorer 有効化(起動) SHOULD
時間単位とリソースレベルのデータを有効化 MAY
サイズの適正化に関する推奨事項を有効化 SHOULD
AWS Compute Optimizer 有効化 SHOULD
AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD
AWS Budgets 予算アラートの設定 SHOULD
予算レポートの設定 MAY
コスト管理
Slide 168
Slide 168 text
168
Compute Optimizer
Compute Optimizerとは
コスト/パフォーマンス観点で最適なリソースを提案してくれるサービス
無料
Slide 169
Slide 169 text
169
Compute Optimizer
EC2/EBS/Auto Scaling Group/Lambdaに対応
CPU使⽤率/メモリ使⽤率/ディスクIO/NW送受信のメトリクスを基に分析
メモリ使⽤率対応には、CloudWatchエージェントの導⼊(有料)が必要
Slide 170
Slide 170 text
170
Compute Optimizer
Compute Optimizerサービスから有効化
Slide 171
Slide 171 text
171
Compute Optimizerの参考資料
https://dev.classmethod.jp/articles/aws-compute-optimizer-tokyo/
Slide 172
Slide 172 text
172
契約・コスト
サービス名 内容 レベル
AWS Cost Explorer 有効化(起動) SHOULD
時間単位とリソースレベルのデータを有効化 MAY
サイズの適正化に関する推奨事項を有効化 SHOULD
AWS Compute Optimizer 有効化 SHOULD
AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD
AWS Budgets 予算アラートの設定 SHOULD
予算レポートの設定 MAY
コスト管理
Slide 173
Slide 173 text
173
Cost Anomaly Detection
Cost Anomaly Detectionとは
機械学習によりコスト異常の検出を⾏うサービス
異常のしきい値(ドル)を定めたアラート設定ができる
無料
Slide 174
Slide 174 text
174
Cost Anomaly Detection
例)コスト異常を検知した例
Slide 175
Slide 175 text
175
Cost Anomaly Detection
例)コスト異常の通知メール
Slide 176
Slide 176 text
176
Cost Anomaly Detection
例)コスト異常の評価
Slide 177
Slide 177 text
177
Cost Anomaly Detectionの有効化
AWSコスト管理画⾯から有効化
Slide 178
Slide 178 text
178
Cost Anomaly Detectionの参考情報
https://dev.classmethod.jp/articles/aws-
cost-anomaly-detection-ga/
https://dev.classmethod.jp/articles/aws-
cost-anomaly-detection-integration-chatbot/
Slide 179
Slide 179 text
179
契約・コスト
サービス名 内容 レベル
AWS Cost Explorer 有効化(起動) SHOULD
時間単位とリソースレベルのデータを有効化 MAY
サイズの適正化に関する推奨事項を有効化 SHOULD
AWS Compute Optimizer 有効化 SHOULD
AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD
AWS Budgets 予算アラートの設定 SHOULD
予算レポートの設定 MAY
$
$
コスト管理
Slide 180
Slide 180 text
180
Budgets
Budgetsとは
予算の管理を⾏うサービス
設定した実績コスト/予測コストのしきい値でアラート送信ができる
有料
Slide 181
Slide 181 text
181
Budgetsの設定
例)⽉額予算として 50$ を設定した例
⽉末に予算オーバーの予測
Slide 182
Slide 182 text
182
Budgetsの設定
例)しきい値超過のメール通知
Slide 183
Slide 183 text
183
Budgets Reports サービスで⽇次/週次/⽉次レポートを設定できる
予算レポートメール
Budgets Reportsの設定
Slide 184
Slide 184 text
184
Budgets Reportsの設定
予測の利⽤には 約5週間が必要
「予測済み」のトリガーでアラートを作成する場合は注意
Budgets Reportsも始めは予測が表⽰されない
Slide 185
Slide 185 text
185
契約・コスト
サービス名 内容 レベル
請求コンソール (Billing) Cost and Usage Reports の有効化 MAY
コスト配分タグの設定 MAY
PDF 請求書の設定 MAY
無料利⽤枠の使⽤アラートの設定 MAY
請求アラートの設定 INFO
マイアカウント IAM ユーザーによる請求情報へのアクセス設定 MAY
$
コスト管理
Slide 186
Slide 186 text
186
Cost and Usage Reports
Cost and Usage Reports (AWSのコストと使⽤状況レポート) とは
コストに関する詳細情報をS3に保管してくれるサービス
BIツールを利⽤することで柔軟性の⾼い分析ができる
無料(ただしS3の料⾦は必要)
Slide 187
Slide 187 text
187
Cost and Usage Reports
例)レポート情報の抜粋版(レポートは CSV形式、GZIP圧縮)
lineItem/UsageStartDate lineItem/UsageEndDate lineItem/ProductCode lineItem/Operation product/instanceType product/operatingSystem product/region pricing/publicOnDemandCost pricing/term pricing/unit
2021-09-24T14:00:00Z 2021-09-24T15:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs
2021-09-24T15:00:00Z 2021-09-24T16:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs
2021-09-24T16:00:00Z 2021-09-24T17:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs
2021-09-24T17:00:00Z 2021-09-24T18:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs
2021-09-24T18:00:00Z 2021-09-24T19:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs
2021-09-24T19:00:00Z 2021-09-24T20:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs
2021-09-24T20:00:00Z 2021-09-24T21:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs
2021-09-24T21:00:00Z 2021-09-24T22:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs
2021-09-24T22:00:00Z 2021-09-24T23:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs
2021-09-24T23:00:00Z 2021-09-25T00:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs
Slide 188
Slide 188 text
188
Cost and Usage Reportsの分析
レポートはAthenaやBIツールを⽤いて分析
Athenaによる分析⽅法はAWS公式ドキュメント参照
https://docs.aws.amazon.com/ja_jp/cur/latest/userguide/cur-query-athena.html
Slide 189
Slide 189 text
189
コスト配分タグ
コスト配分タグとは
Cost and Usage Reports にタグ情報を追加できる機能
タグ別のコスト分析に利⽤できる
すべてのリソースが対応しているわけではない
無料
Slide 190
Slide 190 text
190
コスト配分タグ
例)aws:createdBy タグ情報を追加した Cost and Usage Reports
lineItem/UsageStartDate lineItem/UsageEndDate
lineItem/Prod
uctCode
lineItem/Opera
tion
product/ins
tanceType
product/opera
tingSystem
product/region
pricing/publicOn
DemandCost
pricing/term pricing/unit resourceTags/aws:createdBy
2021-09-24T14:00:00Z 2021-09-24T15:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user
2021-09-24T15:00:00Z 2021-09-24T16:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user
2021-09-24T16:00:00Z 2021-09-24T17:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user
2021-09-24T17:00:00Z 2021-09-24T18:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user
2021-09-24T18:00:00Z 2021-09-24T19:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user
2021-09-24T19:00:00Z 2021-09-24T20:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user
2021-09-24T20:00:00Z 2021-09-24T21:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user
2021-09-24T21:00:00Z 2021-09-24T22:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user
2021-09-24T22:00:00Z 2021-09-24T23:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user
2021-09-24T23:00:00Z 2021-09-25T00:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user
Slide 191
Slide 191 text
191
コスト配分タグ
2 種類のコスト配分タグ
1) AWS⽣成コスト配分タグ
2) ユーザー定義のコスト配分タグ
Slide 192
Slide 192 text
192
AWS⽣成コスト配分タグ
対象リソース作成時に⾃動的に付与(ユーザーは付与しない)
Slide 193
Slide 193 text
193
ユーザー定義のコスト配分タグ
対象リソース作成時にユーザーがタグを付与する
有効化は既に付与しているタグから選択して⾏う
Slide 194
Slide 194 text
194
契約・コスト
サービス名 内容 レベル
請求コンソール (Billing) Cost and Usage Reports の有効化 MAY
コスト配分タグの設定 MAY
PDF 請求書の設定 MAY
無料利⽤枠の使⽤アラートの設定 MAY
請求アラートの設定 INFO
マイアカウント IAM ユーザーによる請求情報へのアクセス設定 MAY
$
コスト管理
Slide 195
Slide 195 text
195
Billingの設定
Billingの設定3点を検討
請求書PDFの受領
無料利⽤枠のアラート受信
請求アラートは
Budgets で代替可能
Slide 196
Slide 196 text
196
無料利⽤枠のアラート
例)S3の無料利⽤枠の 85% 以上を利⽤したことを通知するメール
Slide 197
Slide 197 text
197
契約・コスト
サービス名 内容 レベル
請求コンソール (Billing) Cost and Usage Reports の有効化 MAY
コスト配分タグの設定 MAY
PDF 請求書の設定 MAY
無料利⽤枠の使⽤アラートの設定 MAY
請求アラートの設定 INFO
マイアカウント IAM ユーザーによる請求情報へのアクセス設定 MAY
コスト管理
Slide 198
Slide 198 text
198
IAMユーザーによる請求情報へのアクセス設定
必要に応じて、ルートユーザー以外に請求情報へのアクセス権を付与
AdministratorAccess権限のIAMユーザーでもCostExplorerは閲覧不可
Slide 199
Slide 199 text
199
IAMユーザーによる請求情報へのアクセス設定
マイアカウントからアクセス権を付与
Slide 200
Slide 200 text
200
その他(命名規則、辞書登録)
Slide 201
Slide 201 text
201
その他
カテゴリ 内容 レベル
アカウントの全般設定 ⾔語、デフォルトリージョン、お気に⼊りバーの設定 MAY
リソース命名規則 ⼤まかな命名規則の決定 SHOULD
辞書登録 よく使う AWS 単語の辞書登録 INFO
その他の検討事項
Slide 202
Slide 202 text
202
アカウントの全般設定
利⽤⾔語とデフォルト表⽰リージョン、お気に⼊りバーの表⽰形式を変更できる
利⽤⾔語
サインイン時の
デフォルトリージョン指定
お気に⼊りバーの表⽰形式
Slide 203
Slide 203 text
203
⾔語とのお気に⼊り設定
アカウントの「設定」から変更する
Slide 204
Slide 204 text
204
その他
カテゴリ 内容 レベル
アカウントの全般設定 ⾔語、デフォルトリージョン、お気に⼊りバーの設定 MAY
リソース命名規則 ⼤まかな命名規則の決定 SHOULD
辞書登録 よく使う AWS 単語の辞書登録 INFO
その他の検討事項
Slide 205
Slide 205 text
205
⼤まかな命名規則の決定
命名規則を決めておかないと・・・リソース作成者以外理解できなくなる
Slide 206
Slide 206 text
206
はじめからすべてのサービスの命名規則を細かく決めることは難しい
まずはざっくり定めて進めるのが良い
「要素」と「順番」を決めてハイフンで区切るだけ
①システム名
②環境
③サービス名
④リージョン
要素
②-①-③-④
③-④-①-②
順番
⼤まかな命名規則の決定
Slide 207
Slide 207 text
207
「要素」が必要かどうかを判断
⼤まかな命名規則の決定
要素 例 必要有無の判断
システム名 devio, techblog 同じアカウントに複数システムがある場合は必須レベル
アカウント毎にシステムを分けている場合でも、
アカウント選択ミスを防ぐ⽬的で付与も有効
環境 prod, stg, dev 同じアカウントに複数システムがある場合は必須レベル
環境毎にアカウントを分けている場合でも、
アカウント選択ミスを防ぐ⽬的で付与も有効
AWSを開発⽤途でしか使わない等、今後の利⽤⽅針が決まっている
場合は不要でもよい
Slide 208
Slide 208 text
208
「要素」が必要かどうかを判断
⼤まかな命名規則の決定
要素 例 必要有無の判断
サービス名 vpc, alb 必須レベル
リージョン tokyo, tyo, tk
複数リージョンを使うシステムの場合は付与を検討
リージョン違いで作業していることに気づきやすくなる
付与するとリソース名が⻑くなりがち
ユーザー名/
チーム名/
部署名
hana
1group
1bumon
1つのアカウントを複数ユーザー/チーム/部署で共有して利⽤する
場合に付与を検討
Slide 209
Slide 209 text
209
「順番」はアクセス制御のしやすさやソートのしやすさで決定
同じアカウトに複数システムが混在 「システム名」を先頭へ
開発環境と本番環境が混在 「環境」を先頭へ
同じアカウントを複数ユーザーで利⽤ 「ユーザー名」を先頭へ
⼤まかな命名規則の決定
Slide 210
Slide 210 text
210
背景
・1つのアカウント内に複数システムがあり、システム毎に管理組織が異なる
・特定のシステムのみ操作できるアクセス制御を⾏う必要がある
・開発環境も同じアカウントに存在する
命名規則
[システム名]-[環境]-[サービス名]
devio-prod-vpc
techblog-dev-vpc
⼤まかな命名規則の決定例
Slide 211
Slide 211 text
211
背景
・AWSは将来も含めて検証開発⽤途でしか使わない(勉強⽤環境など)
・複数のユーザーが1つのアカウントを共有して利⽤している
・AWSアカウントの管理者はユーザー毎の利⽤状況を確認しやすくしたい
命名規則
[ユーザー名]-[システム名]-[サービス名]
hana-devio-vpc
taka-techblog-vpc
⼤まかな命名規則の決定例
Slide 212
Slide 212 text
212
同じサービスでもリソース毎に役割が異なる場合は「役割情報」を付与
サブネット ︓public, private, protected
EC2インスタンス ︓web, ap, db, bastion
グローバルで⼀意な命名が必要な場合は「追加の⽂字列」付与も検討
S3のバケット名 ︓sysname-dev-bucket-suffix
複数同じ役割のリソースが複数ある場合は「連番」を付与
EC2インスタンス ︓web-01, web-02
サービス毎の追加情報も検討必要
Slide 213
Slide 213 text
213
命名規則のブログ紹介
https://dev.classmethod.jp/articles/aws-name-rule/
Slide 214
Slide 214 text
214
その他
カテゴリ 内容 レベル
アカウントの全般設定 ⾔語、デフォルトリージョン、お気に⼊りバーの設定 MAY
リソース命名規則 ⼤まかな命名規則の決定 SHOULD
辞書登録 よく使う AWS 単語の辞書登録 INFO
その他の検討事項
Slide 215
Slide 215 text
215
よく使うAWS関連の単語は辞書登録しておくと便利︕
辞書登録
登録内容 よみがな 単語
アカウントID まいあかうんと 111122223333
リージョン名 とうきょうりーじょん ap-northeast-1
AWSサービス名 くらうどとれいる CloudTrail
Slide 216
Slide 216 text
216
最後にもう⼀度、やること⼀覧
Slide 217
Slide 217 text
217
ログ・モニタリング
サービス名 内容 レベル
AWS CloudTrail ログ⻑期保管のための設定(証跡の作成) MUST
CloudTrail Insights の有効化 SHOULD
Athena のテーブル作成 MAY
Amazon EventBridge マネジメントコンソールのサインイン通知 MAY
AWS Config 有効化(レコーダーの作成) MUST
Config ルールの作成 MAY
$
$
$
$
$
AWSリソース操作の記録
Slide 218
Slide 218 text
218
サービス名 内容 レベル
AWS Health Dashboard 通知設定 SHOULD
AWS Trusted Advisor 通知設定 MAY
Amazon DevOps Guru 有効化 MAY
Amazon S3 Storage Lens ダッシュボードの作成 MAY
ログ・モニタリング
$
$
$
AWSサービス/アプリケーションのモニタリング
Slide 219
Slide 219 text
219
セキュリティ
サービス名 実施内容 レベル
AWS IAM (ルートユーザー) MFA 認証の設定 MUST
アクセスキーの削除 MUST
AWS IAM IAM パスワードポリシーの設定 MUST
IAM ユーザー/グループの作成 MUST
MFA 認証の設定 MUST
アカウントエイリアスの作成 MAY
AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD
マネジメントコンソール IP アドレス制限 MAY
ユーザー管理のセキュリティ
Slide 220
Slide 220 text
220
セキュリティ
サービス名 実施内容 レベル
Amazon GuardDuty 有効化 SHOULD
S3/Kubernetes 保護の有効化 SHOULD
信頼されている/驚異IPリストの作成 MAY
通知設定 SHOULD
AWS Security Hub 有効化 SHOULD
通知設定 MAY
Amazon Detective 有効化 SHOULD
$
$
$
$
$
セキュリティイベントの検出と調査
Slide 221
Slide 221 text
221
セキュリティ
サービス名 実施内容 レベル
Amazon VPC デフォルト VPC の削除 SHOULD
Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY
Amazon S3 アカウントのブロックパブリックアクセス設定 MAY
個別サービスのセキュリティ設定
$
Slide 222
Slide 222 text
222
契約・コスト
サービス名 内容 レベル
マイアカウント お⽀払い通貨の設定 -
秘密の質問の設定 SHOULD
代替の連絡先の設定 MAY
デフォルト無効リージョンの確認 INFO
AWS Artifact 準拠法を⽇本法に変更 -
AWS サポート 必要なサポートに加⼊ MAY
$
アカウント設定とサポート
Slide 223
Slide 223 text
223
契約・コスト
サービス名 内容 レベル
AWS Cost Explorer 有効化(起動) SHOULD
時間単位とリソースレベルのデータを有効化 MAY
サイズの適正化に関する推奨事項を有効化 SHOULD
AWS Compute Optimizer 有効化 SHOULD
AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD
Budgets 予算アラートの設定 SHOULD
予算レポートの設定 MAY
$
$
$
$
コスト管理
Slide 224
Slide 224 text
224
契約・コスト
サービス名 内容 レベル
請求コンソール (Billing) Cost and Usage Reports の有効化 MAY
コスト配分タグの設定 MAY
PDF 請求書の設定 MAY
無料利⽤枠の使⽤アラートの設定 MAY
請求アラートの設定 INFO
マイアカウント IAM ユーザーによる請求情報へのアクセス設定 MAY
$
$
コスト管理
Slide 225
Slide 225 text
225
その他
カテゴリ 内容 レベル
アカウントの全般設定 ⾔語、デフォルトリージョン、お気に⼊りバーの設定 MAY
リソース命名規則 ⼤まかな命名規則の決定 SHOULD
辞書登録 よく使う AWS 単語の辞書登録 INFO
その他の検討事項
Slide 226
Slide 226 text
226
まとめ
Slide 227
Slide 227 text
227
まとめ
AWS で最初にやるべきことを
「ログ・モニタリング」「セキュリティ」「契約・コスト 」
の観点 + おまけ付き でまとめました
ぜひご活⽤ください︕
Slide 228
Slide 228 text
228
アカウントベースライン設定の参考ブログ
https://dev.classmethod.jp/articles/aws-security-operation-bestpractice-on-secure-account/
Slide 229
Slide 229 text
229
⾃⼰紹介
yhana
AWS事業本部 コンサルティング部
エキスパートソリューションアーキテクト
2022 APN AWS Top Engineers
Slide 230
Slide 230 text
No content