個人検証アカウントでも最低限設定したいプラクティス ～私の環境のご紹介～ 2024年1月30日 Tomotaka Kizawa ( kizawa2020 ) JAWS-UG東京 【 AWS個人検証アカウントどう運用してる？ ランチ共有会 】

■ 名前 ： 木澤 朋隆 （きざわ ともたか) 所属 ： とあるSIer 担当業務： ① AWSアーキテクト ② マーケティング施策の企画・運営・登壇 ③ 社内エンジニアへの支援活動（情報提供など） 第4740号 NEW! 自己紹介

■ 話のいきさつ Page.3 個人検証環境の運用に関するイベント立てたよ！ こんな設定してますけど、需要ありますか？ ぜひ！ 個人の検証アカウントでも行った方が良い設定例として、 私の個人アカウントでの設定内容について紹介します。

■ 私の個人アカウントの利用用途 Page.4 本番用途 検証用途 • 個人ブログサイト環境 （Amazon CloudFront / AWS WAF / Amazon EC2 ) • オンプレミスのNAS (Synology) のバックアップ （Amazon S3 Glacier Instant Retrieval) • AWSブログを巡回して、アップデートを通知するスクリプト （AWS Lambda / Amazon Translate / Amazon SNS等 ) • ハンズオン参加時や、ブログ記事執筆向けの検証環境 • 「会議脱出ボタン」 デモ環境 （AWS Lambda / Amazon Connect )

■ 従来の構成/運用の課題 Page.5 AWS Cloud ap-northeast-1 (東京リージョン) AWSアカウント us-west-2 (オレゴンリージョン) 本番環境 検証環境 便宜的にリージョンで本番/検証環境を分け運用 東京リージョン ： 本番環境 オレゴンリージョン ： 検証環境 本運用にて若干の問題が発生 IAM設定が混ざる 一部、リージョン指定があるハンズオンコンテンツの利用 本番環境への影響の懸念のため思い切った検証ができず 構成を見直し、改善を実施

■ 主な実装内容 Page.6 ① 本番/検証環境のアカウント分離 ② セキュリティ運用の実施 • “おひとりさま AWS Organizations” の立ち上げ • 検証環境のアカウント分離 • 不要リージョン利用の抑止 • AWS IAM Identity CenterによるSSO環境の構築 AWS Organizations AWS IAM Identity Center • AWS CloudTrailによる証跡保存 • Amazon GuardDutyによる脅威検出 • AWS Configによる設定変更履歴の記録と評価 • AWS Security Hubによる統合管理 • ログイン通知の実施 AWS CloudTrail Amazon GuardDuty AWS Config AWS Security Hub

Page.7 ① アカウント分離 AWS Organizations AWS IAM Identity Center

■ おひとり様 AWS Orgnizationsの立ち上げ Page.8 AWS Cloud ap-northeast-1 (東京リージョン) AWSアカウント us-west-2 (オレゴンリージョン) 本番環境 検証環境 AWS Cloud AWSアカウント（本番） 本番環境 検証環境 AWSアカウント（検証） AWS Organizations AWS Organizationsを利用したアカウント分離の主なメリット 設定や課金が混ざらない アカウント内がゴチャゴチャになった際は、いつでもアカウント廃止できる 課金は統合されており一括請求 新規アカウント向け無料枠 （12ヶ月間）

■ 個人検証でのアカウント構成のベストプラクティス Page.9 管理アカウントにはSCP(サービスコントロールポリシー)が適用できず、統制が掛けられない。 （SCPの例 ： 不要なリージョンの利用を制限） 管理アカウントはAWS Organizationsや管理サービスに限定すべき。 AWS Control Towerを利用し、AWSが推奨するベストプラクティスのアカウント構成を適用しても良い （が、個人検証アカウントではオーバースペック？） AWS Organizations 私のアカウント 本来こうあるべき AWS Organizations 本番環境 検証環境 管理アカウント 本番環境アカウント 本番環境 検証環境 検証検証アカウント 管理アカウント(兼 本番環境) 検証環境アカウント

■ AWS IAM Identity CenterによるSSO Page.10 IAM Identity Centerのメリット 複数AWSアカウントへのSSO SAML 2.0対応 外部サービスとのSSO統合もできる MFAデバイスとしてOSの生体認証デバイスが使える （Windows Hello / Mac TouchID等) 設定手順（ご参考） AWS Organizations導入後は、合わせてIAM Identity Centerも導入しましょう!! ※ 最近はIAM Identity Center前提のAWSサービスも多い。 AWS Managed Service for Grafana / AWS Supply Chain / Amazon Monitron等

Page.11 ② セキュリティ運用の実施 AWS CloudTrail Amazon GuardDuty AWS Config AWS Security Hub

■ AWSアカウントで対応したいセキュリティ設定 Page.12 AWS CloudTrail AWSアカウントの操作ログを記録し継続的に監視 証跡の保存 （AWS Organization全体/マルチリージョン対応) AWS Config AWSリソースの設定変更履歴の記録と評価 Amazon GuardDuty AWSアカウントやワークロードの保護、脅威検知 AWS Security Hub セキュリティアラートの一元的な表示および管理、チェックの自動化 有効化 （利用するリージョンごとに設定。Config RulesはAWS Security Hub統合で導入される） 脅威検出の有効化 （利用するリージョンごとに設定） セキュリティ標準に則った適合の確認。通知設定

■ 構成 Page.13 AWS Cloud AWSアカウント（管理/本番） 本番環境 検証環境 AWSアカウント（検証） AWS Organizations リージョン①（集約リージョン） リージョン② AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty リージョン① リージョン② AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub 検出結果の 集約 AWS Organizations内全アカウント/全(利用)リージョン内の、Amazon GuardDuty/AWS Configの検出結果を 管理アカウント（もしくは委任アカウント）のSecurity Hubにて統合管理する。 ご参考：クラスメソッド臼田さんのブログ https://dev.classmethod.jp/articles/security-hub-cross-region-compliance-aggregation/

■ 各サービスの設定方法 (AWS CloudTrail / AWS Config / Amazon GuardDuty) Page.14 AWSハンズオン資料(Hands-on for Beginners)の、 「アカウント作成後すぐやるセキュリティ対策」 がわかりやすく、神動画だと思っているので こちらをオススメします。

■ AWS Security Hubの運用 Page.15 検出結果の一元管理、可視化ができる セキュリティ標準は一旦 「AWS基礎セキュリティのベストプラクティス」 のみ設定。 必要に応じてCISベンチマークなども有効にできる。（コストに影響するはず…）

■ 気になるコスト Page.16 デフォルト設定では、大きく気になる料金ではないかなと思います。

■ 参考） AWSマネジメントドコンソールへの ログイン時やIAM操作時にメール通知する Page.17 AWSコンソールサインイン時や、IAM操作時にメール通知する仕組みについて解説している記事 を参考に、ログイン時にメール通知を行う設定を行いました。 皆様もご活用ください。 (CloudFormationテンプレートつき）

Page.18 まとめ/その他

■ 最後に、AWS Budgetsは有効にしましょう！ Page.19

■ ■ Page.20 ありがとうございました。 正しい設定を行って、快適な AWS検証ライフをお過ごしください！