Slide 1

Slide 1 text

AWSアカウントを作ったら最初にやるべきこと 〜2021年版〜 2021/10/12 AWS事業本部 コンサルティング部 yhana

Slide 2

Slide 2 text

2 概要 AWS で最初にやるべきことを 「ログ・モニタリング」「セキュリティ」「契約・コスト 」 の観点で紹介

Slide 3

Slide 3 text

3 ⽬的 AWS を使い始めたが とりあえず使った⽅がよいサービスはあるのだろうか セキュリティは⼤丈夫だろうか・・・ いつの間にか利⽤料が⾼額になっていないか⼼配だ まるっと解決︕

Slide 4

Slide 4 text

4 概要 の2021年更新版 https://dev.classmethod.jp/articles/aws-1st-step-new-era-reiwa/

Slide 5

Slide 5 text

5 話すこと/話さないこと 話すこと 最初にやるべきことを広く浅く紹介 話さないこと AWS アカウントの開設⼿順 各サービスの詳細な設定⽅法 各サービスの料⾦ 代わりにブログを紹介︕

Slide 6

Slide 6 text

6 AWSアカウント開設 https://dev.classmethod.jp/articles/create-an-aws-account-2021/

Slide 7

Slide 7 text

7 やるべきこと⼀覧

Slide 8

Slide 8 text

8 やるべきことのカテゴリ ログ・モニタリング セキュリティ 契約・コスト その他(命名規則など)

Slide 9

Slide 9 text

9 やるべきことのレベル設定 MUST 必須でやること SHOULD 明確な理由が無い限りやるべきこと MAY 条件によってやる/やらないが決まること INFO 関連する役⽴ち情報

Slide 10

Slide 10 text

10 やるべきことの料⾦ $ 有料 $ 基本無料 + オプション機能が有料 設定は無料 + 連携サービス (S3等) が有料 記載なし 無料、もしくは、極めて安価

Slide 11

Slide 11 text

11 レベル設定は個⼈の⾒解です 料⾦は設定内容に変わるため参考情報です 注意事項

Slide 12

Slide 12 text

12 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化(証跡の作成) MUST CloudTrail Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化(レコーダーの作成) MUST Config ルールの作成 SHOULD $ $ $ $ $

Slide 13

Slide 13 text

13 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon S3 Storage Lens 有効化(ダッシュボードの作成) SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング $ $ $ $

Slide 14

Slide 14 text

14 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA 認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD マネジメントコンソール IP アドレス制限 MAY

Slide 15

Slide 15 text

15 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3 保護の有効化 SLOUD 信頼されている/驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD $ $ $ $ $

Slide 16

Slide 16 text

16 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY $

Slide 17

Slide 17 text

17 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD 代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY $

Slide 18

Slide 18 text

18 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD 時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY $ $ $ $

Slide 19

Slide 19 text

19 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY $ $

Slide 20

Slide 20 text

20 その他 カテゴリ 内容 レベル リソース命名規則 ⼤まかな命名規則の決定 SHOULD 辞書登録 よく使う AWS 単語の辞書登録 INFO

Slide 21

Slide 21 text

21 ログ・モニタリング

Slide 22

Slide 22 text

22 AWS リソース操作の記録

Slide 23

Slide 23 text

23 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化(証跡の作成) MUST CloudTrail Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化(レコーダーの作成) MUST Config ルールの作成 SHOULD $ $ $

Slide 24

Slide 24 text

24 CloudTrail CloudTrailとは AWSを「誰が」「いつ」「何に」対して「どうような」操作をしたのかを 記録するサービス ログ保存をしていないと・・・ トラブルやインシデント発⽣時に解析ができない セキュリティ監査ができない

Slide 25

Slide 25 text

25 CloudTrail 例)マネジメントコンソールへのサインインのログ

Slide 26

Slide 26 text

26 CloudTrail 例)EC2 Instance の起動ログ イベントは JSON 形式

Slide 27

Slide 27 text

27 CloudTrail の有効化 1つのリージョンの設定で全リージョン有効化可能 ログの暗号化は要件に応じて ログファイルの検証は有効推奨 対象イベントは最低限「管理イベント」の「読み取り」「書き込み」 Insights もイベント対象に追加推奨(あとで) CloudWatch Logs への転送可能

Slide 28

Slide 28 text

28 CloudTrail の有効化 https://www.youtube.com/watch?v=erDYixgVJ0o

Slide 29

Slide 29 text

29 CloudTrail Insights CloudTrail Insights とは 機械学習により異常なアクティビティを検出するサービス

Slide 30

Slide 30 text

30 CloudTrail Insights 例)短い時間で Network ACLの 連続削除を検知

Slide 31

Slide 31 text

31 CloudTrail の S3/CloudWatch Logs転送 CloudTrail のログ転送先 転送先 ⽬的 備考 S3 ⻑期的な保管 - CloudWatch Logs 回数条件でアラートを作成したい場合など オプション

Slide 32

Slide 32 text

32 CloudTrail の S3/CloudWatch Logs転送 S3保管の考慮事項 保存期間 管理 → ライフサイクルルール から設定 暗号化 プロパティ → デフォルトの暗号化 から設定 アクセス制御 アクセス許可 から設定 アクセスログ プロパティ → サーバーアクセスのログ記憶 から設定 オブジェクトロック バケット作成時に有効化(あとから有効はサポート)

Slide 33

Slide 33 text

33 Athena によるログ検索 Athena とは SQL を使⽤した S3 のデータ検索を⾏うサービス CloudTrail サービスから Athena テーブル作成を実⾏して利⽤ 有料

Slide 34

Slide 34 text

34 Athena によるログ検索 https://dev.classmethod.jp/articles/cloudtrail-athena/

Slide 35

Slide 35 text

35 CloudTrail の参考情報 種別 タイトル(リンク) 技術情報 [アップデート] CloudTrail Insights で異常アクティビティの統計情報が提供されるよう になりました 技術情報 Amazon S3の暗号化について調べてみた。 技術情報 S3オブジェクトのロック(なにをどうやっても改竄削除が不可)がリリースされま した︕ #reinvent 料⾦ 料⾦ - AWS CloudTrail | AWS

Slide 36

Slide 36 text

36 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化(証跡の作成) MUST CloudTrail Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化(レコーダーの作成) MUST Config ルールの作成 SHOULD

Slide 37

Slide 37 text

37 マネジメントコンソールのサインイン通知 EventBridge を利⽤してマネジメントコンソールへのサインインを通知

Slide 38

Slide 38 text

38 マネジメントコンソールのサインイン通知の作成 https://dev.classmethod.jp/articles/aws-management-console-sign-in-notice/

Slide 39

Slide 39 text

39 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化(証跡の作成) MUST CloudTrail Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化(レコーダーの作成) MUST Config ルールの作成 SHOULD $ $

Slide 40

Slide 40 text

40 Config Config とは AWS リソースのインベントリと変更の追跡を担うサービス 有効化していないと・・・ AWS リソースの変更履歴の追跡が⾯倒 監査の⼿間が増加

Slide 41

Slide 41 text

41 Config 例)EC2 のタイムライン EC2 起動 EC2 起動 インスタンスタイプ変更 EC2 停⽌

Slide 42

Slide 42 text

42 Config の有効化 有効化はリージョン毎に設定 記憶するレコードタイプは選択可能(はじめはすべてのリソースでよいかも) グローバルリソースは1つのリージョンのみ有効でよい メインで利⽤している リージョン 他リージョン Config の有効化作業 ○ ○ グローバルリソースを含める ○ -

Slide 43

Slide 43 text

43 Config の有効化 https://www.youtube.com/watch?v=E8GY09aEwnE&t=79s

Slide 44

Slide 44 text

44 Config ルール Config ルールでリソースの設定内容を評価(監査)できる ルールの種別 概要 導⼊難易度 マネージドルール AWSが提供するConfigルール 易しい カスタムルール ユーザが作成するConfigルール 難しい

Slide 45

Slide 45 text

45 Config ルール 例)restricted-ssh︓IPアドレス制限無しでSSH開放しているSGを検知

Slide 46

Slide 46 text

46 Config ルール マネージドルール名 概要 restricted-ssh セキュリティグループの受信SSHトラフィック のIPアドレスが制限されているかを確認 vpc-flow-logs-enabled VPCに対してVPCフローログが有効になってい るかを確認 rds-cluster-deletion-protection-enabled RDSクラスターに対して削除保護が有効になっ ているかを確認 マネージドルール(⼀部抜粋)

Slide 47

Slide 47 text

47 Config の参考情報 種別 タイトル(リンク) 技術情報 AWS Config マネージドルールのリスト 料⾦ AWS Configの料⾦

Slide 48

Slide 48 text

48 サービス/アプリのモニタリング

Slide 49

Slide 49 text

49 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon S3 Storage Lens 有効化(ダッシュボードの作成) SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング $

Slide 50

Slide 50 text

50 DevOps Guru DevOps Guruとは 機械学習により運⽤パターンから逸脱したアプリケーション動作を 検出するサービス 事後(異常が発⽣した後)と予測(異常が発⽣する前)の両⽅を検出 有料

Slide 51

Slide 51 text

51 DevOps Guru 例)DynamoDB のスロットルに関する異常を検出

Slide 52

Slide 52 text

52 DevOps Guru 例)関連するイベント情報から異常となる直前の操作(原因)を確認

Slide 53

Slide 53 text

53 DevOps Guru の有効化 https://dev.classmethod.jp/articles/amazon-devops-guru-ga/

Slide 54

Slide 54 text

54 DevOps Guru の参考情報 種別 タイトル(リンク) 技術情報 Amazon DevOps Guru の特徴 料⾦ Amazon DevOps Guru の料⾦

Slide 55

Slide 55 text

55 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon S3 Storage Lens 有効化(ダッシュボードの作成) SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング $

Slide 56

Slide 56 text

56 S3 Storage Lens S3 Storage Lens とは S3の使⽤状況とアクティビティの傾向を可視化し、 コストやデータ保護に関する推奨事項の提案をしてくれるサービス ⼀部無料、⾼度なメトリクスとレコメンデーションは有料

Slide 57

Slide 57 text

57 S3 Storage Lens 例)S3 の利⽤状況の概要

Slide 58

Slide 58 text

58 S3 Storage Lens 例)各バケットのストレージサイズの分析 バケット毎のストレージ合計サイズ オブジェクトサイズと オブジェクト数のバブル分析

Slide 59

Slide 59 text

59 S3 Storage Lens の設定 https://dev.classmethod.jp/articles/amazon-s3-storage-lens/

Slide 60

Slide 60 text

60 S3 Storage Lens の参考情報 種別 タイトル(リンク) 料⾦ Amazon S3 の料⾦

Slide 61

Slide 61 text

61 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon S3 Storage Lens 有効化(ダッシュボードの作成) SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング $

Slide 62

Slide 62 text

62 Personal Health Dashboard Personal Health Dashboard とは 作成したリソースが障害やメンテナンスの影響を受けているか 確認できるサービス

Slide 63

Slide 63 text

63 Personal Health Dashboard 例)過去のイベントログ

Slide 64

Slide 64 text

64 Personal Health Dashboard の通知設定 イベントを通知できる 設定⽅法は AWS 公式ドキュメント参照 https://docs.aws.amazon.com/ja_jp/health/latest/ug/cloudwatch-events-health.html

Slide 65

Slide 65 text

65 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon S3 Storage Lens 有効化(ダッシュボードの作成) SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング $

Slide 66

Slide 66 text

66 Trusted Advisor Trusted Advisor とは コスト最適化、パフォーマンス、セキュリティ、対障害性、サービスの制限 に関して推奨事項に沿っているか確認してくれるサービス 無料 すべてのチェック項⽬利⽤にはビジネスサポートプラン以上が必要

Slide 67

Slide 67 text

67 Trusted Advisor 例)セキュリティのチェック項⽬

Slide 68

Slide 68 text

68 Trusted Advisor 連絡先へのメール通知設定

Slide 69

Slide 69 text

69 セキュリティ

Slide 70

Slide 70 text

70 IAM のセキュリティ

Slide 71

Slide 71 text

71 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA 認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD マネジメントコンソール IP アドレス制限 MAY

Slide 72

Slide 72 text

72 root ユーザ root ユーザとは アカウント作成に使⽤したメールアドレスとパスワードを使⽤するユーザ すべてのAWSサービスとリソースへの完全なアクセス権を持つ 普段の作業には利⽤しないこと サポート契約等、root にしかできない操作を⾏う場合のみ利⽤

Slide 73

Slide 73 text

通常作業時は root ではなく、IAM ユーザ/IAM グループを利⽤ IAM ユーザは AWS アカウント内で定義するユーザ AWS アカウント 73 IAM ユーザ IAM グループ IAM ユーザ IAM ユーザ IAM グループ IAM ユーザ IAM ユーザ

Slide 74

Slide 74 text

74 IAM ポリシー IAM グループに対して、役割に応じた権限(IAM ポリシー)を付与 AWS アカウント AdministratorAccess ViewOnlyAccess IAM グループ IAM ユーザ IAM ユーザ IAM グループ IAM ユーザ IAM ユーザ

Slide 75

Slide 75 text

75 IAM ポリシー IAM ポリシーには、AWS が提供している「AWS 管理ポリシー」と ユーザが作成する「ユーザ管理ポリシー」 がある AWS 管理ポリシー名 概要 AdministratorAccess AWSサービスとリソースへのフルアクセス権限 ViewOnlyAccess すべてのAWSサービスのリソース、および、基本的なメタデータ の閲覧権限 AmazonEC2FullAccess AWSマネジメントコンソールによるEC2へのフルアクセス権限

Slide 76

Slide 76 text

76 root ユーザのやるべきこと root ユーザの推奨事項は IAM サービス上でレコメンドされる 1) MFA 認証の設定 2) アクセスキーの削除

Slide 77

Slide 77 text

77 root ユーザのやるべきこと root にアクセスキーがある場合 https://console.aws.amazon.com/iam/home#/security_credentials

Slide 78

Slide 78 text

78 アクセスキー アクセスキーとは CLI やプログラムから API にリクエストする際に利⽤する認証情報 IAM ユーザ単位で発⾏できる 利⽤する場合は定期的にキーを更新 利⽤しない場合は削除

Slide 79

Slide 79 text

79 IAM ユーザの設定 パスワードポリシーの作成 IAM グループ、IAM ポリシーの作成 IAM ポリシーを IAM グループにアタッチ IAM ユーザを作成して IAM グループに所属 IAM ユーザの MFA 認証の設定

Slide 80

Slide 80 text

80 パスワードポリシーの設定 パスワードポリシーを IAM の「アカウント設定」から変更

Slide 81

Slide 81 text

81 パスワードポリシーの設定 セキュリティ要件に沿ったパスワードポリシーを設定

Slide 82

Slide 82 text

82 IAM ユーザの設定 https://www.youtube.com/watch?v=XyAoL_2RHSU

Slide 83

Slide 83 text

83 アカウントエイリアス アカウントエイリアス名でサインインができる エイリアス名 マネジメントコン ソールのサインイン URLもエイリアス名 でアクセス可能

Slide 84

Slide 84 text

84 アカウントエイリアス 設定は IAM サービスから実施

Slide 85

Slide 85 text

85 IAM の参考情報 種別 タイトル(リンク) 技術情報 IT未経験の初⼼者がIAMを理解しようとしてみた 技術情報 AWS再⼊⾨ブログリレー AWS Identity and Access Management (IAM)編 料⾦ AWS Identity and Access Management (IAM) よくある質問

Slide 86

Slide 86 text

86 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA 認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD マネジメントコンソール IP アドレス制限 MAY

Slide 87

Slide 87 text

87 IAM Access Analyzer IAM Access Analyzer とは 外部エンティティに対するアクセス許可状況を確認できるサービス 外部エンティティ︓外部 AWS アカウントや IdP (Identity Provider) 等

Slide 88

Slide 88 text

88 IAM Access Analyzer の運⽤ 111122223333 アカウントID︓111122223333 の IAM ユーザ「test-user」に対して、 AdministratorAccess 権限を与えている 意図して与えた権限なのかどうか確認 意図した結果はアーカイブ、意図していない場合は対処 スキャン結果

Slide 89

Slide 89 text

89 IAM Access Analyzer の有効化 IAM サービスからリージョン毎に有効化

Slide 90

Slide 90 text

90 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA 認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD マネジメントコンソール IP アドレス制限 MAY

Slide 91

Slide 91 text

91 マネジメントコンソールのIPアドレス制限 IAM ロールの機能を利⽤することで、 マネジメントコンソールへサインインできる IP アドレスを制限できる

Slide 92

Slide 92 text

92 マネジメントコンソールのIPアドレス制限 https://dev.classmethod.jp/articles/20170215_amc-sourceip-restriction/

Slide 93

Slide 93 text

93 セキュリティイベントの検出と調査

Slide 94

Slide 94 text

94 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3 保護の有効化 SLOUD 信頼されている/驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD $ $ $

Slide 95

Slide 95 text

95 GuardDuty GuardDuty とは AWS 環境のセキュリティを継続的にモニタリングして、 機械学習により異常を検知してくれるサービス

Slide 96

Slide 96 text

96 GuardDuty 例)EC2がC&C(Command and Control)サーバと通信していることを検知

Slide 97

Slide 97 text

97 GuardDuty の運⽤ 検知結果に問題がある場合は対処 問題がない場合はアーカイブ

Slide 98

Slide 98 text

98 GuardDuty の有効化 GuardDuty サービスから利⽤するリージョン毎に設定

Slide 99

Slide 99 text

99 GuardDuty の主なオプション機能と設定 オプション機能 信頼されている IP リスト/驚異 IP リストの登録 S3 保護の有効化 設定 CloudWatch Events へのデータ送信間隔15分に変更 + 通知設定 S3 バケットへのエクスポート設定

Slide 100

Slide 100 text

100 信頼されているIPリスト/驚異IPリストの登録 信頼できる/驚異となる IP アドレスを事前に登録しておくことで精度向上 TrustedIPAdressList.txt 54.20.175.217 205.0.0.0/8

Slide 101

Slide 101 text

101 信頼されているIPリスト/驚異IPリストの登録 https://dev.classmethod.jp/articles/guardduty-generate-findings-test/

Slide 102

Slide 102 text

102 S3 保護 S3 保護とは S3 へのデータアクセスに関する脅威検出ができるになる設定

Slide 103

Slide 103 text

103 S3 保護 例)Tor から S3 へのアクセスを検知

Slide 104

Slide 104 text

104 S3 保護の設定 GuardDuty の設定画⾯から有効化

Slide 105

Slide 105 text

105 CloudWatch Events へのデータ送信 CloudWatch Events へのデータ送信間隔を 6時間 → 15分 に変更 検知結果の通知を早くすることができる 後述する Detective サービスで早期調査ができる 合わせて、GuardDuty 検知結果の通知設定

Slide 106

Slide 106 text

106 CloudWatch Events へのデータ送信 GuardDuty の設定画⾯から変更

Slide 107

Slide 107 text

107 GuardDuty の通知設定 https://dev.classmethod.jp/articles/event-notification-from-guardduty-easier-to-see/

Slide 108

Slide 108 text

108 S3 へのエクスポート 検出結果を S3 にエクスポート可能 他のアカウントにも転送して複数アカウントの結果を集約することも可能 S3 の料⾦発⽣

Slide 109

Slide 109 text

109 S3 へのエクスポートの設定 https://dev.classmethod.jp/articles/guardduty-supports-exporting-findings-to-an-amazon-s3-bucket/

Slide 110

Slide 110 text

110 S3 へのエクスポートの設定(CloudFormation) https://dev.classmethod.jp/articles/guardduty-export-s3/

Slide 111

Slide 111 text

111 GuardDuty の参考情報 種別 タイトル(リンク) 技術資料 [2021年版]Amazon GuardDutyによるAWSセキュリティ運⽤を考える 技術資料 ⼀発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った 技術資料 [アップデート] Amazon GuardDuty で S3 への不審なアクティビティを脅威検出できる ようになりました︕ 料⾦ Amazon GuardDuty の料⾦ 料⾦ 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた

Slide 112

Slide 112 text

112 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3 保護の有効化 SLOUD 信頼されている/驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD $

Slide 113

Slide 113 text

113 Security Hub Security Hub とは 1) セキュリティサービスの検知結果を⼀元管理できるサービス 2) セキュリティ基準に基づいてリスクを評価するサービス 有料(30⽇間の無料トライアルあり)

Slide 114

Slide 114 text

114 セキュリティ基準 事前に定義されたセキュリティ基準(Security Standard)で環境を評価 ⽬指せ 100点︕

Slide 115

Slide 115 text

115 セキュリティ基準 例)EC2 に関する基準のチェック結果

Slide 116

Slide 116 text

116 セキュリティ基準の運⽤ 基準を満たせていない「失敗」の項⽬を精査 対処をする、もしくは、対処不要な項⽬は消し込み セキュリティスコア 100点︕

Slide 117

Slide 117 text

117 対処不要な項⽬の消し込み 例)EBS の暗号化がセキュリティ条件上必須ではない場合、 「無効化」により評価対象外とする

Slide 118

Slide 118 text

118 Security Hub の有効化 Security Hub サービスからリージョン毎に設定

Slide 119

Slide 119 text

119 Security Hub の有効化 利⽤するセキュリティ基準が未定の場合は、次の2つをとりあえず有効化 1) AWS 基礎セキュリティのベストプラクティス 2) CIS AWS Foundations Benchmark

Slide 120

Slide 120 text

120 Security Hub の通知 各セキュリティサービスで検知した結果は通知できる 例)通知内容を加⼯した通知メール

Slide 121

Slide 121 text

121 Security Hub の通知設定 https://dev.classmethod.jp/articles/security-hub-events-lambda-sns-email/

Slide 122

Slide 122 text

122 GuardDuty の参考情報 種別 タイトル(リンク) 技術資料 [⼊⾨]社内勉強会で AWS Security Hubの話をしました 技術資料 うわっ…私のセキュリティスコア低すぎ…︖Security HubのCISベンチマークの俺流 チューニングで100%準拠を⽬指す 料⾦ AWS Security Hub の料⾦

Slide 123

Slide 123 text

123 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3 保護の有効化 SLOUD 信頼されている/驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD $

Slide 124

Slide 124 text

124 Detective Detective とは セキュリティイベントの調査を容易にするサービス GuardDuty や Security Hub と連携 有料(30⽇間の無料トライアルあり)

Slide 125

Slide 125 text

125 Detective 例)IAM ユーザの調査

Slide 126

Slide 126 text

126 Detective 例)IAM ユーザの調査

Slide 127

Slide 127 text

127 Detective GuardDuty のイベントから直接 Detective を参照して調査可能

Slide 128

Slide 128 text

128 Detective の有効化 Detective サービスから利⽤するリージョン毎に設定 GuardDuty の有効化が前提(有効化後少なくとも48時間経過が必要) 2021年9⽉時点で⼤阪リージョン未サポート

Slide 129

Slide 129 text

129 Detective の有効化(CloudFormation) https://dev.classmethod.jp/articles/enable-detective-cfn-stacksets/

Slide 130

Slide 130 text

130 Detective の参考情報 種別 タイトル(リンク) 技術資料 [アップデート] AWS 環境の調査がすこぶる捗る︕Amazon Detective が利⽤可能になっ ていた︕(30⽇間の無料トライアル付き) 技術資料 [神ツール]セキュリティインシデントの調査が捗るAmazon DetectiveがGAしたのでメ リットとオススメの使い⽅を紹介します 料⾦ Amazon Detective の料⾦

Slide 131

Slide 131 text

131 個別サービスのセキュリティ設定

Slide 132

Slide 132 text

132 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY $

Slide 133

Slide 133 text

133 VPC フローログ VCP フローログとは VPC のトラフィック情報をログとして保管する機能 無料だが、ログの転送先サービス(CloudWatch, S3)は有料

Slide 134

Slide 134 text

134 VPC フローログ 例)CloudWatch に転送した VPC フローログ

Slide 135

Slide 135 text

135 VPC フローログ フローログの内容 アカウント 123456789010 のネットワークインターフェイス eni-1235b8ca123456789 への SSH トラ フィック (宛先ポート 22、TCP プロトコル) が許可 2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK アカウント 123456789010 のネットワークインターフェイス eni-1235b8ca123456789 への RDP トラ フィック (宛先ポート 3389、TCP プロトコル) が拒否 2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK フローログの各フィールド情報 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html#flow-log-records

Slide 136

Slide 136 text

136 VPC フローログの設定 AWS 公式ドキュメント参照 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/working-with-flow-logs.html

Slide 137

Slide 137 text

137 VPC フローログの分析(Athena) https://dev.classmethod.jp/articles/vpc-flow-logs-athena/

Slide 138

Slide 138 text

138 デフォルト VPC 各リージョンにデフォルトで VPC が1個ずつ存在 VPC を作成する場合や利⽤しないリージョンではデフォルト VPCを削除 デフォルト VPC のサブネット設定はグローバル IPv4 の⾃動割り当てが有効 削除により意図しないインターネット公開の危険性を少しでも低減可能

Slide 139

Slide 139 text

139 デフォルト VPC の削除⽅法 https://dev.classmethod.jp/articles/tsnote-vpc-delete-default-resources/

Slide 140

Slide 140 text

140 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY

Slide 141

Slide 141 text

141 EC2 (EBS) のデフォルト暗号化設定 EBS のデフォルト設定は暗号化無し セキュリティ要件で暗号化が必須の場合は、デフォルトを暗号化実施に変更

Slide 142

Slide 142 text

142 EC2 (EBS) のデフォルト暗号化設定 EC2 ダッシュボードからリージョン毎に設定

Slide 143

Slide 143 text

143 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY

Slide 144

Slide 144 text

144 S3 のアカウントのブロックパブリックアクセス設定 アカウントすべての S3 のパブリックアクセスを⼀括でブロックできる S3 をインターネットに公開しないアカウントでは、 ブロック設定により誤った公開を防⽌できる

Slide 145

Slide 145 text

145 S3 のアカウントのブロックパブリックアクセス設定 S3 サービスから設定

Slide 146

Slide 146 text

146 S3 のアカウントのブロックパブリックアクセス設定 オブジェクトを公開しようとした場合はエラー

Slide 147

Slide 147 text

147 契約・コスト

Slide 148

Slide 148 text

148 アカウント設定 準拠法 サポート

Slide 149

Slide 149 text

149 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD 代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY

Slide 150

Slide 150 text

150 マイアカウント設定 各種設定は root ユーザでマイアカウントから実施

Slide 151

Slide 151 text

151 お⽀払い通貨の設定 必要に応じて、⽇本円の請求に変更

Slide 152

Slide 152 text

152 秘密の質問の設定 アカウント所有者であることを確認するための「秘密の質問」を設定 ⼀度設定すると削除できない、変更は可能

Slide 153

Slide 153 text

153 代替の連絡先の設定 必要に応じて、root ユーザのメールアドレス以外の連絡先を追加 経理担当やセキュリティ担当の関係者など 連絡先タイプ 連絡内容の例 請求 請求書の連絡 オペレーション サービスが利⽤できない場合の連絡 セキュリティ セキュリティ上の問題やセキュリティトピックの連絡

Slide 154

Slide 154 text

154 代替の連絡先の設定

Slide 155

Slide 155 text

155 デフォルト無効リージョンの確認 必要に応じて、デフォルト無効のリージョンを確認

Slide 156

Slide 156 text

156 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD 代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY

Slide 157

Slide 157 text

157 準拠法を⽇本法に変更 AWS カスタマーアグリメントのデフォルトの準拠法は⽶国ワシントン州法 Artifact サービスから 準拠法を⽇本法、紛争に関する第⼀審裁判所を東京地⽅裁判所に変更できる

Slide 158

Slide 158 text

158 準拠法を⽇本法に変更 https://dev.classmethod.jp/articles/aws-change-governing-law-to-japan/

Slide 159

Slide 159 text

159 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD 代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY $

Slide 160

Slide 160 text

160 サポートに加⼊ 要件に合うサポートに加⼊ 主な違い 技術サポート体制 サポート問い合わせ⽅法 ケースの応答時間 Trusted Advisor のチェック項⽬数 料⾦ 詳しいサポートプランの⽐較と料⾦は AWS 公式ドキュメント参照 https://aws.amazon.com/jp/premiumsupport/plans/

Slide 161

Slide 161 text

161 コスト管理

Slide 162

Slide 162 text

162 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD 時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY $ $

Slide 163

Slide 163 text

163 Cost Explorer Cost Explorerとは 実績/予測コストの可視化サービス Cost Explorer API の利⽤やオプション機能は有料

Slide 164

Slide 164 text

164 Cost Explorer 例)直近1週間のサービス別利⽤料

Slide 165

Slide 165 text

165 Cost Explorer 例)1週間後の予測コストの表⽰

Slide 166

Slide 166 text

166 Cost Explorer の有効化 請求コンソールもしくは AWS コスト管理画⾯から起動(有効化)

Slide 167

Slide 167 text

167 Cost Explorer 2 つのオプション設定 1) 時間単位とリソースレベルのデータ 2) サイズの適正化に関する推奨事項を受け取る

Slide 168

Slide 168 text

168 時間単位とリソースレベルのデータ 初期設定は「毎時」表⽰や「リソース」単位の表⽰は選択できない 追加料⾦(毎⽉ UsageRecord 1,000 個あたり 0.01 USD)で利⽤可能

Slide 169

Slide 169 text

169 時間単位とリソースレベルのデータの有効化 AWS コスト管理の設定から有効化

Slide 170

Slide 170 text

170 サイズの適正化に関する推奨事項 CPU 使⽤率等のメトリクス情報から EC2 インスタンスの推奨タイプを提⽰ 現在のタイプ 1vCPU 1GiBメモリ 推奨のタイプ 1vCPU 0.5GiB

Slide 171

Slide 171 text

171 サイズの適正化に関する推奨事項の有効化 AWS コスト管理の設定から有効化

Slide 172

Slide 172 text

172 Cost Explorer の参考情報 種別 タイトル(リンク) 技術資料 [アップデート] AWS Cost Explorer が時間単位およびリソースレベルの粒度で確認でき るようになりました 技術資料 [アップデート]コスト最適化の決定版︕AWS Cost Explorerの推奨事項にAWS Compute Optimizerが統合されました 料⾦ AWS Cost Explorer の料⾦

Slide 173

Slide 173 text

173 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD 時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY

Slide 174

Slide 174 text

174 Compute Optimizer Compute Optimizer とは コスト/パフォーマンス観点で最適なリソースを提案してくれるサービス 無料

Slide 175

Slide 175 text

175 Compute Optimizer EC2/EBS/Auto Scaling Group/Lambdaに対応 CPU使⽤率/メモリ使⽤率/ディスクIO/NW送受信のメトリクスを基に分析 メモリ使⽤率対応には、CloudWatch エージェントの導⼊(有料)が必要

Slide 176

Slide 176 text

176 Compute Optimizer Compute Optimizer サービスから有効化

Slide 177

Slide 177 text

177 Compute Optimizer の参考資料 https://dev.classmethod.jp/articles/aws-compute-optimizer-tokyo/

Slide 178

Slide 178 text

178 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD 時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY

Slide 179

Slide 179 text

179 Cost Anomaly Detection Cost Anomaly Detection とは 機械学習によりコスト異常の検出を⾏うサービス 無料

Slide 180

Slide 180 text

180 Cost Anomaly Detection 例)コスト異常を検知した例

Slide 181

Slide 181 text

181 Cost Anomaly Detection 例)コスト異常の通知メール

Slide 182

Slide 182 text

182 Cost Anomaly Detection 例)コスト異常の評価

Slide 183

Slide 183 text

183 Cost Anomaly Detection の有効化 AWS コスト管理画⾯から有効化

Slide 184

Slide 184 text

184 Cost Anomaly Detection の参考情報 https://dev.classmethod.jp/articles/aws-cost-anomaly-detection-ga/

Slide 185

Slide 185 text

185 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD 時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY $ $

Slide 186

Slide 186 text

186 Budgets Budgets とは 予算の管理を⾏うサービス 設定した実績/予測コストのしきい値でアラート送信も可能 有料

Slide 187

Slide 187 text

187 Budgets の設定 例)⽉額予算として50$を設定した例 ⽉末に予算オーバーの予測

Slide 188

Slide 188 text

188 Budgets の設定 例)しきい値超過のメール通知

Slide 189

Slide 189 text

189 Budgets Reports サービスで⽇次/週次/⽉次レポートを設定できる 毎⽇の予算レポートメール Budgets Reports の設定

Slide 190

Slide 190 text

190 Budgets Reports の設定 予測の利⽤には 約5週間が必要 「予測済み」のトリガーでアラートを作成する場合は注意 Budgets Reports も始めは予測がない

Slide 191

Slide 191 text

191 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY $

Slide 192

Slide 192 text

192 Cost and Usage Reports Cost and Usage Reports (AWS のコストと使⽤状況レポート) とは コストに関する詳細情報を S3 に保管してくれるサービス BI ツール等を利⽤することで柔軟性の⾼い分析ができる 無料(ただし S3 の料⾦は必要)

Slide 193

Slide 193 text

193 Cost and Usage Reports 例)レポート情報の抜粋版(レポートは CSV形式、GZIP圧縮) lineItem/UsageStartDate lineItem/UsageEndDate lineItem/ProductCode lineItem/Operation product/instanceType product/operatingSystem product/region pricing/publicOnDemandCost pricing/term pricing/unit 2021-09-24T14:00:00Z 2021-09-24T15:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T15:00:00Z 2021-09-24T16:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T16:00:00Z 2021-09-24T17:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T17:00:00Z 2021-09-24T18:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T18:00:00Z 2021-09-24T19:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T19:00:00Z 2021-09-24T20:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T20:00:00Z 2021-09-24T21:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T21:00:00Z 2021-09-24T22:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T22:00:00Z 2021-09-24T23:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T23:00:00Z 2021-09-25T00:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs

Slide 194

Slide 194 text

194 Cost and Usage Reports の分析 レポートは Athena や BI ツールを利⽤して分析 Athena による分析はAWS公式ドキュメント参照 https://docs.aws.amazon.com/ja_jp/cur/latest/userguide/cur-query-athena.html

Slide 195

Slide 195 text

195 コスト配分タグ コスト配分タグとは Cost and Usage Reports にタグ情報を追加できる機能 タグ情報を分析に利⽤できる すべてのリソースが対応しているわけではない 無料

Slide 196

Slide 196 text

196 コスト配分タグ 例)aws:createdBy タグ情報を追加した Cost and Usage Reports lineItem/UsageStartDate lineItem/UsageEndDate lineItem/Prod uctCode lineItem/Opera tion product/ins tanceType product/opera tingSystem product/region pricing/publicOn DemandCost pricing/term pricing/unit resourceTags/aws:createdBy 2021-09-24T14:00:00Z 2021-09-24T15:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T15:00:00Z 2021-09-24T16:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T16:00:00Z 2021-09-24T17:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T17:00:00Z 2021-09-24T18:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T18:00:00Z 2021-09-24T19:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T19:00:00Z 2021-09-24T20:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T20:00:00Z 2021-09-24T21:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T21:00:00Z 2021-09-24T22:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T22:00:00Z 2021-09-24T23:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T23:00:00Z 2021-09-25T00:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user

Slide 197

Slide 197 text

197 コスト配分タグ 2 種類のコスト配分タグ 1) AWS⽣成コスト配分タグ 2) ユーザ定義のコスト配分タグ

Slide 198

Slide 198 text

198 AWS⽣成コスト配分タグ 対象リソース作成時に⾃動的に付与(ユーザは付与しない)

Slide 199

Slide 199 text

199 ユーザ定義のコスト配分タグ 対象リソース作成時にユーザがタグを付与 有効化は既に付与しているタグから選択して⾏う

Slide 200

Slide 200 text

200 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY $

Slide 201

Slide 201 text

201 Billing の設定 Billing の設定3点を検討 請求書PDFの受領 無料利⽤枠のアラートの受信 請求アラートについては Budgets で代替可能

Slide 202

Slide 202 text

202 無料利⽤枠のアラート 例)S3 の無料利⽤枠の 85% 以上を利⽤したことを通知するメール

Slide 203

Slide 203 text

203 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY

Slide 204

Slide 204 text

204 IAM ユーザによる請求情報へのアクセス設定 必要に応じて、root ユーザ以外に請求情報へのアクセス権を付与 AdministratorAccess 権限の IAM ユーザでも CostExplorer は閲覧不可

Slide 205

Slide 205 text

205 IAM ユーザによる請求情報へのアクセス設定 マイアカウントからアクセス権を付与

Slide 206

Slide 206 text

206 その他(命名規則、辞書登録)

Slide 207

Slide 207 text

207 その他 カテゴリ 内容 レベル リソース命名規則 ⼤まかな命名規則の決定 SHOULD 辞書登録 よく使う AWS 単語の辞書登録 INFO

Slide 208

Slide 208 text

208 ⼤まかな命名規則の決定 命名規則を決めておかないと・・・

Slide 209

Slide 209 text

209 はじめからすべてのサービスの命名規則を細かく決めるとは難しい まずはざっくり決めるか、既にある規則を参考にする ざっくりは「要素」と「順番」を決めてハイフンで区切るだけ ①システム名 ②環境 ③サービス名 ④リージョン 要素 ②-①-③-④ ③-④-①-② 順番 ⼤まかな命名規則の決定

Slide 210

Slide 210 text

210 「要素」が必要かどうかを判断 ⼤まかな命名規則の決定 要素 例 必要有無の判断 システム名 devio, techblog 同じアカウントに複数システムがある場合は必須レベル アカウント毎にシステムを分けている場合でも、 アカウント選択ミスを防ぐ⽬的で付与も有効 環境 prod, stg, dev 同じアカウントに複数システムがある場合は必須レベル 環境毎にアカウントを分けている場合でも、 アカウント選択ミスを防ぐ⽬的で付与も有効 AWSを開発⽤途でしか使わない等、今後の利⽤⽅針が決まっている 場合は不要でもよい

Slide 211

Slide 211 text

211 「要素」が必要かどうかを判断 ⼤まかな命名規則の決定 要素 例 必要有無の判断 サービス名 vpc, alb 必須レベル リージョン tokyo, tyo, tk 複数リージョンを使うシステムの場合は付与を検討 リージョン違いで作業していることに気づきやすくなる 付与するとリソース名が⻑くなりがち ユーザ名/ チーム名/ 部署名 hana 1group 1bumon 1つのアカウントを複数ユーザ/チーム/部署で共有して利⽤する 場合に付与を検討

Slide 212

Slide 212 text

212 「順番」はアクセス制御のしやすさやソートのしやすさで決定 同じアカウトに複数システムが混在 「システム名」を先頭へ 開発環境と本番環境が混在 「環境」を先頭へ 同じアカウントを複数ユーザで利⽤ 「ユーザ名」を先頭へ ⼤まかな命名規則の決定

Slide 213

Slide 213 text

213 背景 ・1つのアカウント内に複数システムがあり、システム毎に管理組織が異なる ・特定のシステムのみ操作できるアクセス制御を⾏う場合がある ・開発環境も同じアカウントにある 命名規則 [システム名]-[環境]-[サービス名] devio-prod-vpc techblog-dev-vpc ⼤まかな命名規則の例

Slide 214

Slide 214 text

214 背景 ・AWS は将来含めて検証開発⽤途でしか使わない ・複数のユーザが1つのアカウントを共有して利⽤している ・AWSアカウントの管理者はユーザ毎の利⽤状況を確認しやすくしたい 命名規則 [ユーザ名/チーム名]-[システム名]-[サービス名] hana-devio-vpc 1group-techblog-vpc ⼤まかな命名規則の例

Slide 215

Slide 215 text

215 同じサービスでもリソース毎に役割が異なる場合は「役割情報」を付与 サブネット ︓public, private, protected EC2インスタンス ︓web, ap, db, bastion グローバルで⼀意な命名が必要な場合は「アカウントID」を付与 S3のバケット名 ︓bucket-111122223333 複数同じ役割のリソースが複数ある場合は「連番」を付与 EC2インスタンス ︓web-01, web-02 サービス毎の追加情報も検討必要

Slide 216

Slide 216 text

216 命名規則のブログ紹介 https://dev.classmethod.jp/articles/aws-name-rule/

Slide 217

Slide 217 text

217 その他 カテゴリ 内容 レベル リソース命名規則 ⼤まかな命名規則の決定 SHOULD 辞書登録 よく使う AWS 単語の辞書登録 INFO

Slide 218

Slide 218 text

218 よく使う AWS 関連の単語は辞書登録しておくと便利︕ 辞書登録 登録内容 よみがな 単語 アカウント ID まいあかうんと 111122223333 リージョン名 とうきょうりーじょん ap-northeast-1 AWS サービス名 くらうどとれいる CloudTrail

Slide 219

Slide 219 text

219 最後にもう⼀度、やるべきこと⼀覧

Slide 220

Slide 220 text

220 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化(証跡の作成) MUST CloudTrail Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化(レコーダーの作成) MUST Config ルールの作成 SHOULD $ $ $ $ $

Slide 221

Slide 221 text

221 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon S3 Storage Lens 有効化(ダッシュボードの作成) SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング $ $ $ $

Slide 222

Slide 222 text

222 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA 認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD マネジメントコンソール IP アドレス制限 MAY

Slide 223

Slide 223 text

223 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3 保護の有効化 SLOUD 信頼されている/驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD $ $ $ $ $

Slide 224

Slide 224 text

224 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY $

Slide 225

Slide 225 text

225 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD 代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY $

Slide 226

Slide 226 text

226 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD 時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY $ $ $ $

Slide 227

Slide 227 text

227 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY $ $

Slide 228

Slide 228 text

228 その他 カテゴリ 内容 レベル リソース命名規則 ⼤まかな命名規則の決定 SHOULD 辞書登録 よく使う AWS 単語の辞書登録 INFO

Slide 229

Slide 229 text

229 まとめ

Slide 230

Slide 230 text

230 まとめ AWS で最初にやるべきことを 「ログ・モニタリング」「セキュリティ」「契約・コスト 」 の観点 + リソース命名規則のおまけ付き でまとめました ぜひご活⽤ください︕

Slide 231

Slide 231 text

231 ⾃⼰紹介 名前︓yhana 所属︓AWS事業本部 コンサルティング部 ソリューションアーキテクト

Slide 232

Slide 232 text

No content