AWSアカウントで最初にやるべきこと 〜2022年6月版〜

Transcript

1. AWSアカウントで最初にやるべきこと 〜2022年6⽉版〜 2022.7.25 AWS事業本部 コンサルティング部 yhana

2. 2 概要 AWSで最初にやる設定を 「ログ・モニタリング」「セキュリティ」「契約・コスト 」 の観点で紹介

3. 3 概要 の2022年更新版 https://dev.classmethod.jp/articles/aws-1st-step-2021/

4. 4 話すこと／話さないこと 話すこと 最初にやることを広く浅く紹介 話さないこと AWSアカウントの開設⼿順 各サービスの詳細な設定⽅法 各サービスの料⾦ 代わりにブログや参考資料を紹介︕

5. 5 AWSアカウント開設 https://dev.classmethod.jp/articles/create-an-aws-account-2021/

6. 6 やること⼀覧

7. 7 やることのカテゴリ ログ・モニタリング セキュリティ 契約・コスト その他

8. 8 やることのレベル設定 MUST 必須レベルでやること SHOULD やったほうがいいこと MAY 条件によってやる／やらないが決まること INFO 関連する役⽴ち情報

9. 9 やることの料⾦ ＄ 有料 ＄ 基本無料 ＋ オプション機能が有料 設定は無料 ＋

   連携サービス (S3等) が有料 記載なし 無料、もしくは、極めて安価

10. 10 レベル設定は個⼈の⾒解です 料⾦は設定等により変わるため参考情報です やること⼀覧はAWSと直接契約した場合の内容です AWSパートナーとの契約時は⼀部が異なる可能性が あることにご注意ください 注意事項

11. 11 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail ログ⻑期保管のための設定（証跡の作成） MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 MAY AWS Config 有効化（レコーダーの作成） MUST Config ルールの作成 MAY ＄ ＄ ＄ ＄ ＄ AWSリソース操作の記録

12. 12 サービス名 内容 レベル AWS Health Dashboard 通知設定 SHOULD AWS

    Trusted Advisor 通知設定 MAY Amazon DevOps Guru 有効化 MAY Amazon S3 Storage Lens ダッシュボードの作成 MAY ログ・モニタリング ＄ ＄ ＄ AWSサービス/アプリケーションのモニタリング

13. 13 セキュリティ サービス名 実施内容 レベル AWS IAM (ルートユーザー) MFA 認証の設定

    MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザー/グループの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化（アナライザーの作成） SHOULD マネジメントコンソール IP アドレス制限 MAY ユーザー管理のセキュリティ

14. 14 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SHOULD S3/Kubernetes

    保護の有効化 SHOULD 信頼されている／驚異IPリストの作成 MAY 通知設定 SHOULD AWS Security Hub 有効化 SHOULD 通知設定 MAY Amazon Detective 有効化 SHOULD ＄ ＄ ＄ ＄ ＄ セキュリティイベントの検出と調査

15. 15 セキュリティ サービス名 実施内容 レベル Amazon VPC デフォルト VPC の削除

    SHOULD Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY 個別サービスのセキュリティ設定 ＄

16. 16 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 - 秘密の質問の設定 SHOULD

    代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 - AWS サポート 必要なサポートに加⼊ MAY ＄ アカウント設定とサポート

17. 17 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化（起動） SHOULD

    時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化（モニターとサブスクリプション設定） SHOULD AWS Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY ＄ ＄ ＄ ＄ コスト管理

18. 18 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

    Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザーによる請求情報へのアクセス設定 MAY ＄ ＄ コスト管理

19. 19 その他 カテゴリ 内容 レベル アカウントの全般設定 ⾔語、デフォルトリージョン、お気に⼊りバーの設定 MAY リソース命名規則 ⼤まかな命名規則の決定

    SHOULD 辞書登録 よく使う AWS 単語の辞書登録 INFO その他の検討事項

20. 20 AWS利⽤経験に応じた本資料の活⽤例 AWS利⽤経験 本資料の使い⽅の例 AWSを触り始めたばかりの⽅ 重要なデータをAWS上に保管しない場合、始めは次の設定 を確認し、他の項⽬は後で徐々に理解を深めながら確認し ていただく ・MUSTの項⽬ ・マイアカウントの項⽬

    ・AWS Cost Explorer ・AWS Budgets AWSをある程度利⽤されている⽅ ⾃⾝の環境チェックや企業におけるアカウント発⾏時の ベースライン設定検討の参考にしていただく

21. 21 ログ・モニタリング

22. 22 AWSリソース操作の記録

23. 23 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail ログ⻑期保管のための設定（証跡の作成） MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 MAY AWS Config 有効化（レコーダーの作成） MUST Config ルールの作成 MAY ＄ ＄ ＄ AWSリソース操作の記録

24. 24 CloudTrail CloudTrailとは AWSを「誰が」「いつ」「何に」対して「どうような」操作をしたのかを 記録するサービス（ログ記録） ログを⻑期間保存していないと・・・ トラブルやインシデント発⽣時に解析ができない セキュリティ監査ができない

25. 25 CloudTrail 例）マネジメントコンソールへのサインインイベント

26. 26 CloudTrail 例）EC2インスタンスの起動イベント 実態は JSON 形式 いつ誰が起動したか

27. 27 CloudTrailの設定 「証跡の作成」を⾏ってログを⻑期保管（デフォルトは過去90⽇間） １つのリージョンの設定で全リージョンの有効化が可能 ログファイルの検証は有効化を推奨 ログの暗号化設定を検討 対象イベントは最低限「管理イベント」の「読み取り」「書き込み」はほしい Insightsもイベント対象に追加（あとで）

28. 28 CloudTrailの設定（証跡の作成） https://www.youtube.com/watch?v=erDYixgVJ0o

29. 29 CloudTrail Insights CloudTrail Insightsとは 機械学習によりAWS上の異常なアクティビティを検出するサービス 通常の操作でも検知されることもあるため、はじめは試してみて あまり利⽤しないようでれば無効化もあり（コスト削減となる）

30. 30 CloudTrail Insights 例）短い時間での Network ACLの 連続削除を検知

31. 31 CloudTrailのS3/CloudWatch Logs転送 CloudTrailのログ転送先 転送先 ⽬的 備考 S3 ⻑期的な保管 -

    CloudWatch Logs 回数条件でアラートを作成したい場合など オプション

32. 32 CloudTrailのS3/CloudWatch Logs転送 S3保管の考慮事項 保存期間 管理 → ライフサイクルルール から設定 暗号化

    プロパティ → デフォルトの暗号化 から設定 アクセス制御 アクセス許可 から設定 アクセスログ プロパティ → サーバーアクセスのログ記憶 から設定 オブジェクトロック バケット作成時に有効化（あとから有効はサポート）

33. 33 AthenaによるCloudTrailイベント検索 Athenaとは SQLを使⽤してS3のデータを検索できるサービス CloudTrailサービスからAthenaテーブル作成を実⾏して利⽤ 有料（検索した容量に応じた課⾦）

34. 34 AthenaによるCloudTrailイベント検索 https://dev.classmethod.jp/articles/cloudtrail-athena/

35. 35 CloudTrail の参考情報 種別 タイトル（リンク） 技術情報 [アップデート] CloudTrail Insights で異常アクティビティの統計情報が提供されるよう

    になりました 技術情報 Amazon S3の暗号化について調べてみた。 技術情報 S3オブジェクトのロック（なにをどうやっても改竄削除が不可）がリリースされま した︕ #reinvent 料⾦ 料⾦ - AWS CloudTrail | AWS

36. 36 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail ログ⻑期保管のための設定（証跡の作成） MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 MAY AWS Config 有効化（レコーダーの作成） MUST Config ルールの作成 MAY AWSリソース操作の記録

37. 37 マネジメントコンソールのサインイン通知 EventBridgeを利⽤してマネジメントコンソールへのサインインを通知 メールやSlackなどへ通知可能

38. 38 マネジメントコンソールのサインイン通知の作成 https://dev.classmethod.jp/articles/aws-management-console-sign-in-notice/

39. 39 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail ログ⻑期保管のための設定（証跡の作成） MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 MAY AWS Config 有効化（レコーダーの作成） MUST Config ルールの作成 MAY ＄ ＄ AWSリソース操作の記録

40. 40 Config Configとは AWSリソースのインベントリと変更の追跡を担うサービス 有効化していないと・・・ AWSリソースの変更履歴の追跡が⼤変 監査の⼿間が増加

41. 41 Configのタイムライン表⽰ 例）EC2のタイムライン EC2起動 EC2起動 インスタンスタイプ変更 EC2停⽌

42. 42 Configで設定変更の確認 例）EC2インスタンスに関する変更 変更前 変更後

43. 43 Configの有効化 有効化はリージョン毎に設定 記憶するリソースタイプは選択可能（コスト次第だがすべてのリソース推奨） グローバルリソースは１つのリージョンのみ有効でよい メインで利⽤している リージョン 他リージョン Configの有効化作業 ◦

    ◦ グローバルリソースを含める ◦ -

44. 44 Configの有効化 https://www.youtube.com/watch?v=E8GY09aEwnE&t=79s

45. 45 Configルール Configルールとは リソースの設定内容を評価（監査）できるサービス 後述するSecurity Hubで対応できない要件に対しても活⽤できる ルールの種別 概要 導⼊難易度 マネージドルール

    AWSが提供するConfigルール 易しい カスタムルール ユーザーが作成するConfigルール 難しい

46. 46 マネージドルールの例 例）restricted-ssh︓IPアドレス制限無しでSSH開放しているSGを検知

47. 47 マネージドルールの例 マネージドルール名 概要 restricted-ssh セキュリティグループの受信SSHトラフィック のIPアドレスが制限されているかを確認 vpc-flow-logs-enabled VPCに対してVPCフローログが有効になってい るかを確認

    rds-cluster-deletion-protection-enabled RDSクラスターに対して削除保護が有効になっ ているかを確認

48. 48 Configの参考情報 種別 タイトル（リンク） 技術情報 AWS Config マネージドルールのリスト 料⾦ AWS

    Configの料⾦

49. 49 AWSサービス/アプリケーションの モニタリング

50. 50 サービス名 内容 レベル AWS Health Dashboard 通知設定 SHOULD AWS

    Trusted Advisor 通知設定 MAY Amazon DevOps Guru 有効化 MAY Amazon S3 Storage Lens ダッシュボードの作成 MAY ログ・モニタリング AWSサービス/アプリケーションのモニタリング

51. 51 AWS Health Dashboard AWS Health Dashboardとは AWSのサービス全般、もしくは、アカウントに関連したサービスが 障害やメンテナンスの影響を受けているか確認できるサービス 2022年にService

    Health DashboardとPersonal Health Dashboard が統合されてAWS Health Dashboardになった

52. 52 AWS Health Dashboard AWSサービス全体の確認 各サービスの障害有無

53. 53 AWS Health Dashboard 個別のアカウントに関する確認

54. 54 AWS Health Dashboard 障害の表⽰例 ステータス（状況） イベント概要 対応状況の時系列 タブメニューで「影響を 受けるリソース」確認可

55. 55 AWS Health Dashboardの通知設定 Amazon EventBridgeルールを利⽤して通知ができる 設定⽅法はAWSユーザーガイド参照 Amazon EventBridge を使⽤した

    AWS Health イベントのモニタリング

56. 56 サービス名 内容 レベル AWS Health Dashboard 通知設定 SHOULD AWS

    Trusted Advisor 通知設定 MAY Amazon DevOps Guru 有効化 MAY Amazon S3 Storage Lens ダッシュボードの作成 MAY ログ・モニタリング ＄ AWSサービス/アプリケーションのモニタリング

57. 57 Trusted Advisor Trusted Advisorとは コスト最適化、パフォーマンス、セキュリティ、対障害性、サービスの制限 に関して推奨事項に沿っているか確認してくれるサービス 無料（⼀部の項⽬は有料のサポート契約が必要） すべてのチェック項⽬利⽤にはビジネスサポートプラン以上が必要

58. 58 Trusted Advisor 例）セキュリティのチェック項⽬

59. 59 Trusted Advisor 連絡先へのメール通知設定

60. 60 サービス名 内容 レベル AWS Health Dashboard 通知設定 SHOULD AWS

    Trusted Advisor 通知設定 MAY Amazon DevOps Guru 有効化 MAY Amazon S3 Storage Lens ダッシュボードの作成 MAY ログ・モニタリング ＄ AWSサービス/アプリケーションのモニタリング

61. 61 DevOps Guru DevOps Guruとは 機械学習により運⽤パターンから逸脱したアプリケーション動作を 検出するサービス 事後（異常が発⽣した後）と予測（異常が発⽣する前）の両⽅を検出 有料

62. 62 DevOps Guru 例）DynamoDBのスロットルに関する異常を検出

63. 63 DevOps Guru 例）関連するイベント情報から異常となる直前の操作（原因）を確認

64. 64 DevOps Guru の有効化 https://dev.classmethod.jp/articles/amazon-devops-guru-ga/

65. 65 DevOps Guru の参考情報 種別 タイトル（リンク） 技術情報 Amazon DevOps Guru

    の特徴 料⾦ Amazon DevOps Guru の料⾦

66. 66 サービス名 内容 レベル AWS Health Dashboard 通知設定 SHOULD AWS

    Trusted Advisor 通知設定 MAY Amazon DevOps Guru 有効化 MAY Amazon S3 Storage Lens ダッシュボードの作成 MAY ログ・モニタリング ＄ AWSサービス/アプリケーションのモニタリング

67. 67 S3 Storage Lens S3 Storage Lensとは S3の使⽤状況とアクティビティの傾向を可視化し、 コストやデータ保護に関する推奨事項の提案をしてくれるサービス ⼀部無料（⾼度なメトリクスとレコメンデーションは有料）

    デフォルトで⼀つのダッシュボードが作成済み（まずはこれを試す）

68. 68 S3 Storage Lens 例）S3の利⽤状況の概要

69. 69 S3 Storage Lens 例）各バケットのストレージサイズの分析 バケット毎の ストレージ合計サイズ オブジェクトサイズと オブジェクト数の バブル分析

70. 70 S3 Storage Lensの設定 https://dev.classmethod.jp/articles/amazon-s3-storage-lens/

71. 71 S3 Storage Lensの参考情報 種別 タイトル（リンク） 料⾦ Amazon S3 の料⾦

72. 72 セキュリティ

73. 73 ユーザー管理のセキュリティ

74. 74 セキュリティ サービス名 実施内容 レベル AWS IAM (ルートユーザー) MFA 認証の設定

    MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザー/グループの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化（アナライザーの作成） SHOULD マネジメントコンソール IP アドレス制限 MAY ユーザー管理のセキュリティ

75. 75 ルートユーザー ルートユーザーとは アカウント作成に使⽤したメールアドレスとパスワードを使⽤するユーザー すべてのAWSサービスとリソースへの完全なアクセス権を持つ 普段の作業には利⽤しないこと サポート契約等、ルートユーザーにしかできない操作を⾏う場合のみ利⽤

76. 通常作業時はルートではなく、IAMユーザー/グループを利⽤ IAMユーザーはAWSアカウント内で定義するユーザー AWS アカウント 76 IAMユーザー IAM グループ IAM ユーザ

    IAM ユーザ IAM グループ IAM ユーザ IAM ユーザ

77. 77 IAMポリシー IAMグループに対して、役割に応じた権限（IAMポリシー）を付与 AWS アカウント AdministratorAccess ViewOnlyAccess IAM グループ IAM

    ユーザ IAM ユーザ IAM グループ IAM ユーザ IAM ユーザ

78. 78 IAMポリシー IAMポリシーには、AWSが提供している「AWS管理ポリシー」と ユーザーが作成する「カスタマー管理ポリシー」 がある AWS管理ポリシー名 概要 AdministratorAccess AWSサービスとリソースへのフルアクセス権限 ViewOnlyAccess

    すべてのAWSサービスのリソース、および、基本的なメタデータ の閲覧権限 AmazonEC2FullAccess AWSマネジメントコンソールによるEC2へのフルアクセス権限

79. 79 ルートユーザーのやるべきこと ルートユーザーの推奨事項はIAMサービス上でレコメンドされる 1) MFA認証の設定 2) アクセスキーの削除

80. 80 ルートユーザーのやるべきこと ルートユーザーでアクセスキーは利⽤しない（作成済みの場合は削除） https://console.aws.amazon.com/iam/home#/security_credentials

81. 81 アクセスキー アクセスキーとは CLIやプログラムからAPIにリクエストする際に利⽤する認証情報 IAMユーザー単位で発⾏できる 利⽤する場合は定期的にキーを更新 利⽤しない場合は削除

82. 82 IAMユーザーの設定 パスワードポリシーの作成 IAMグループ、IAMポリシーの作成 IAMポリシーを IAMグループにアタッチ IAMユーザーを作成してIAMグループに所属 IAMユーザーのMFA認証の設定

83. 83 パスワードポリシーの設定 セキュリティ要件に沿ったパスワードポリシーを設定

84. 84 パスワードポリシーの設定 パスワードポリシーをIAMの「アカウント設定」から変更

85. 85 IAMユーザーの設定 https://www.youtube.com/watch?v=XyAoL_2RHSU

86. 86 アカウントエイリアス アカウントエイリアス名でサインインができる エイリアス名 マネジメント コンソールの サインイン URLもエイリ アス名でアク セス可能

87. 87 アカウントエイリアス 設定はIAMサービスから実施

88. 88 IAMの参考情報 種別 タイトル（リンク） 技術情報 IT未経験の初⼼者がIAMを理解しようとしてみた 技術情報 AWS再⼊⾨ブログリレー AWS Identity

    and Access Management (IAM)編 料⾦ AWS Identity and Access Management (IAM) よくある質問

89. 89 セキュリティ サービス名 実施内容 レベル AWS IAM (ルートユーザー) MFA 認証の設定

    MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザー/グループの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化（アナライザーの作成） SHOULD マネジメントコンソール IP アドレス制限 MAY ユーザー管理のセキュリティ

90. 90 IAM Access Analyzer IAM Access Analyzerとは 外部のAWSアカウントやIdP (Identity Provider)

    等の外部エンティティに 対するアクセス許可状況を確認できるサービス

91. 91 IAM Access Analyzerの運⽤ 111122223333 アカウントID︓111122223333のIAMユーザー「test-user」に対して、 AdministratorAccess権限を与えている 意図して与えた権限なのかどうか確認 意図した権限の場合はアーカイブ、意図していない場合は対処 スキャン結果

92. 92 IAM Access Analyzerの有効化 IAM サービスからリージョン毎に有効化

93. 93 セキュリティ サービス名 実施内容 レベル AWS IAM (ルートユーザー) MFA 認証の設定

    MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザー/グループの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化（アナライザーの作成） SHOULD マネジメントコンソール IP アドレス制限 MAY ユーザー管理のセキュリティ

94. 94 マネジメントコンソールのIPアドレス制限 IAMロールの機能を利⽤することで、 マネジメントコンソールへサインインできるIPアドレスを制限できる https://dev.classmethod.jp/articles/20170215_amc-sourceip-restriction/

95. 95 セキュリティイベントの検出と調査

96. 96 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SHOULD S3/Kubernetes

    保護の有効化 SHOULD 信頼されている／驚異IPリストの作成 MAY 通知設定 SHOULD AWS Security Hub 有効化 SHOULD 通知設定 MAY Amazon Detective 有効化 SHOULD ＄ ＄ セキュリティイベントの検出と調査

97. 97 GuardDuty GuardDutyとは AWSのイベントログやS3データイベント等を継続的にモニタリングして、 驚異を検知してくれるサービス

98. 98 GuardDuty 例）EC2がC＆C (Command and Control) サーバと通信していることを検知

99. 99 GuardDutyの運⽤ 検知結果に問題がある場合は対処 問題がない場合はアーカイブ

100. 100 GuardDutyの有効化 GuardDutyサービスからリージョン毎に設定

101. 101 GuardDutyの主なオプション機能と設定 オプション機能 信頼されているIPリスト/驚異IPリストの登録 S3/Kubernetes保護の有効化 設定 CloudWatch Eventsへのデータ送信間隔15分に変更 ＋ 通知設定

     S3バケットへのエクスポート設定

102. 102 信頼されているIPリスト/驚異IPリストの登録 信頼できる/驚異となるIPアドレスを事前に登録しておくことで精度向上 TrustedIPAdressList.txt 54.20.175.217 205.0.0.0/8

103. 103 信頼されているIPリスト/驚異IPリストの登録 https://dev.classmethod.jp/articles/guardduty-generate-findings-test/

104. 104 S3/Kubernetes保護 S3保護とは S3のデータに関する潜在的なセキュリティリスクを検出 Kubernetes保護とは Amazon EKSクラスターの不審なアクティビティや潜在的なリスクを検出 2022年6⽉15⽇時点では両⽅ともデフォルト有効化 （過去に作成したアカウントはデフォルト無効化となっている可能性がある）

105. 105 S3保護の検知例 例）TorからS3へのアクセスを検知

106. 106 S3保護の設定 GuardDutyの設定画⾯から有効化

107. 107 Kubernetes保護の設定 GuardDutyの設定画⾯から有効化

108. 108 GuardDutyの通知設定 GuardDutyの検知結果にはC&Cサーバと通信している状態の検知など、 即座に対応が必要な場合があるため通知することを推奨 https://dev.classmethod.jp/articles/event- notification-from-guardduty-easier-to-see/ https://dev.classmethod.jp/articles/guarddu ty-event-filter/

109. 109 更新された検出結果の頻度の設定 「更新された検出結果の頻度」を短くすることで再通知の時間をコントロール 通知設定をしている場合において、 ⼀度検出された内容に更新（同じ内容でもう⼀度検知など）があったときの 再通知時間に影響

110. 110 S3へのエクスポート 検出結果をS3にエクスポート可能（S3の料⾦発⽣） 他のアカウントにも転送して複数アカウントの結果を集約することも可能 集約後はAthenaやBIツール等により分析できる https://dev.classmethod.jp/articles/guardduty-supports-exporting-findings-to-an-amazon-s3-bucket/

111. 111 GuardDutyの参考情報 種別 タイトル（リンク） 技術資料 [2021年版]Amazon GuardDutyによるAWSセキュリティ運⽤を考える 技術資料 ⼀発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った 技術資料

     [アップデート] Amazon GuardDuty で S3 への不審なアクティビティを脅威検出できる ようになりました︕ 料⾦ Amazon GuardDuty の料⾦ 料⾦ 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた

112. 112 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SHOULD S3/Kubernetes

     保護の有効化 SHOULD 信頼されている／驚異IPリストの作成 MAY 通知設定 SHOULD AWS Security Hub 有効化 SHOULD 通知設定 MAY Amazon Detective 有効化 SHOULD ＄ ＄ セキュリティイベントの検出と調査

113. 113 Security Hub Security Hubとは 1. セキュリティサービスのイベントを集約して⼀元管理する機能 2. セキュリティ基準に基づいてAWS環境をチェックする機能 (こちらを紹介)

     有料（30⽇間の無料トライアルあり）

114. 114 セキュリティ基準 事前定義されたセキュリティ基準（Security Standard）でAWS環境をチェック ⽬指せスコア 100%︕

115. 115 セキュリティ基準 例）EC2 に関するチェック結果

116. 116 セキュリティ基準の運⽤ 基準を満たせていない「失敗」の項⽬を精査 対処をする、もしくは、対処不要な項⽬は「無効化」 セキュリティスコア 100%︕

117. 117 対処不要な項⽬の無効化 例）EBS の暗号化がセキュリティ条件上必須でなくリスクを許容できる場合は 「無効化」により評価対象外とする

118. 118 Security Hubの有効化 Security Hubサービスからリージョン毎に設定

119. 119 Security Hubの有効化 セキュリティ要件が無い/未定の場合は、次の項⽬をとりあえず有効化 AWS基礎セキュリティのベストプラクティス

120. 120 Security Hubの通知 各セキュリティサービスで検知したイベントはメールやSlackに通知できる 例）Security Hubのチェック結果を加⼯して通知したメール

121. 121 Security Hubの通知設定 https://dev.classmethod.jp/articles/security-hub-events-lambda-sns-email/

122. 122 GuardDuty の参考情報 種別 タイトル（リンク） 技術資料 [⼊⾨]社内勉強会で AWS Security Hubの話をしました

     技術資料 [2021年版]AWS Security HubによるAWSセキュリティ運⽤を考える 技術資料 うわっ…私のセキュリティスコア低すぎ…︖Security HubのCISベンチマークの俺流 チューニングで100%準拠を⽬指す 料⾦ AWS Security Hub の料⾦

123. 123 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SHOULD S3/Kubernetes

     保護の有効化 SHOULD 信頼されている／驚異IPリストの作成 MAY 通知設定 SHOULD AWS Security Hub 有効化 SHOULD 通知設定 MAY Amazon Detective 有効化 SHOULD ＄ セキュリティイベントの検出と調査

124. 124 Detective Detectiveとは セキュリティイベントの調査・分析を⾏うサービス GuardDutyと連携した調査ができる 有料（30⽇間の無料トライアルあり）

125. 125 Detective 例）IAMユーザーの調査 成功/失敗した操作を確認できる

126. 126 Detective 例）IAMユーザーの調査

127. 127 Detective GuardDutyのイベントから直接Detectiveを参照して調査可能

128. 128 Detectiveの有効化 Detectiveサービスから利⽤するリージョン毎に設定 GuardDutyの有効化が前提（有効化後少なくとも48時間経過が必要） 2022年6⽉15⽇時点で⼤阪リージョン未サポート

129. 129 Detectiveの有効化（CloudFormation） https://dev.classmethod.jp/articles/enable-detective-cfn-stacksets/

130. 130 Detectiveの参考情報 種別 タイトル（リンク） 技術資料 [アップデート] AWS 環境の調査がすこぶる捗る︕Amazon Detective が利⽤可能になっ

     ていた︕（30⽇間の無料トライアル付き） 技術資料 [神ツール]セキュリティインシデントの調査が捗るAmazon DetectiveがGAしたのでメ リットとオススメの使い⽅を紹介します 料⾦ Amazon Detective の料⾦

131. 131 個別サービスのセキュリティ設定

132. 132 セキュリティ サービス名 実施内容 レベル Amazon VPC デフォルト VPC の削除

     SHOULD Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY 個別サービスのセキュリティ設定

133. 133 デフォルトVPC 各リージョンにはデフォルトでVPCが1個ずつ存在 利⽤しないリージョンではデフォルトVPCを削除 デフォルトVPCのサブネット設定はグローバルIPv4の⾃動割り当てが有効 削除により意図しないインターネット公開の危険性を少しでも低減可能 利⽤する場合はデフォルトのセキュリティグープの設定も⾒直す

134. 134 デフォルトVPCの削除⽅法 https://dev.classmethod.jp/articles/tsnote-vpc-delete-default-resources/

135. 135 セキュリティ サービス名 実施内容 レベル Amazon VPC デフォルト VPC の削除

     SHOULD Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY 個別サービスのセキュリティ設定 ＄

136. 136 EC2 (EBS) のデフォルト暗号化設定 EBSはデフォルトで暗号化しない設定 デフォルトを暗号化有効に変更できる AWS KMS のカスタマーマネージドキーを利⽤する場合は、キーの費⽤発⽣ デフォルトは暗号化しない設定

137. 137 EC2 (EBS) のデフォルト暗号化設定 EC2ダッシュボードからリージョン毎に設定

138. 138 セキュリティ サービス名 実施内容 レベル Amazon VPC デフォルト VPC の削除

     SHOULD Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY 個別サービスのセキュリティ設定

139. 139 S3のアカウントのブロックパブリックアクセス設定 アカウントすべてのS3のパブリックアクセスを⼀括でブロックできる設定 S3オブジェクト（ファイル等）をインターネットに公開しないアカウントでは、 ブロック設定により誤った公開を防⽌できる S3オブジェクトを公開するかどうか未定なアカウントに対しても、 始めにアカウントレベルのブロックパブリックアクセス設定を有効にしておき、 公開するときに無効化することで安全に運⽤できる

140. 140 S3のアカウントのブロックパブリックアクセス設定 S3サービスから設定

141. 141 S3のアカウントのブロックパブリックアクセス設定 オブジェクトを公開しようとした場合はエラー

142. 142 契約・コスト

143. 143 アカウント設定とサポート

144. 144 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 - 秘密の質問の設定 SHOULD

     代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 - AWS サポート 必要なサポートに加⼊ MAY アカウント設定とサポート

145. 145 マイアカウント設定 各種設定はからルートユーザーで「アカウント」変更

146. 146 お⽀払い通貨の設定 必要に応じて、⽇本円の請求に変更 2022年6⽉15⽇時点ではデフォルト⽇本円（以前はUSドル） デフォルトの設定（⽇本円）

147. 147 秘密の質問の設定 アカウント所有者であることを確認するための「秘密の質問」を設定 ⼀度設定すると削除できない、変更は可能

148. 148 代替の連絡先の設定 必要に応じて、ルートユーザーのメールアドレス以外の連絡先を追加 例）経理担当やセキュリティ担当の関係者など 連絡先タイプ 連絡内容の例 請求 請求書の連絡 オペレーション サービスが利⽤できない場合の連絡

     セキュリティ セキュリティ上の問題やセキュリティトピックの連絡

149. 149 代替の連絡先の設定

150. 150 デフォルト無効リージョンの確認 必要に応じて、デフォルト無効のリージョンを確認

151. 151 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 - 秘密の質問の設定 SHOULD

     代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 - アカウント設定とサポート

152. 152 準拠法を⽇本法に変更 AWS カスタマーアグリメントのデフォルトの準拠法は⽶国ワシントン州法 2022年6⽉15⽇時点では、 AWS契約当事者が「Amazon Web Services Japan Godo

     Kaisha」の 場合は、準拠法は⽇本国法、管轄裁判所は東京地裁と定められている AWS カスタマーアグリーメント

153. 153 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 - 秘密の質問の設定 SHOULD

     代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 - AWS サポート 必要なサポートに加⼊ MAY ＄ アカウント設定とサポート

154. 154 サポートに加⼊ 要件に合うサポートに加⼊ 主な違い 技術サポート体制 サポート問い合わせ⽅法 ケースの応答時間 Trusted Advisorのチェック項⽬数 料⾦

     詳しいサポートプランの⽐較と料⾦はAWS公式ドキュメント参照 https://aws.amazon.com/jp/premiumsupport/plans/

155. 155 コスト管理

156. 156 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化（起動） SHOULD

     時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化（モニターとサブスクリプション設定） SHOULD AWS Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY ＄ ＄ コスト管理

157. 157 Cost Explorer Cost Explorerとは 実績コスト/予測コストの可視化サービス 無料だが、Cost Explorer APIの利⽤やオプション機能は有料

158. 158 Cost Explorer 例）直近1週間のサービス別利⽤料

159. 159 Cost Explorer 例）1週間後の予測コストの表⽰

160. 160 Cost Explorerの有効化 請求コンソールもしくはAWSコスト管理画⾯から起動

161. 161 Cost Explorer 2つのオプション設定 1) 時間単位とリソースレベルのデータ 2) サイズの適正化に関する推奨事項を受け取る 設定変更を⾏うにはCost Explorerを起動してから24時間程度が必要

162. 162 時間単位とリソースレベルのデータ 初期設定は「毎時」表⽰や「リソース」単位の表⽰は選択できない 追加料⾦（毎⽉ UsageRecord 1,000 個あたり 0.01 USD）で利⽤可能

163. 163 時間単位とリソースレベルのデータの有効化 AWSコスト管理の設定から有効化

164. 164 サイズの適正化に関する推奨事項 CPU使⽤率等のメトリクス情報からEC2インスタンスの推奨タイプを提⽰ 現在のタイプ 1vCPU 1GiBメモリ 推奨のタイプ 1vCPU 0.5GiB

165. 165 サイズの適正化に関する推奨事項の有効化 AWSコスト管理の設定から有効化

166. 166 Cost Explorerの参考情報 種別 タイトル（リンク） 技術資料 [アップデート] AWS Cost Explorer

     が時間単位およびリソースレベルの粒度で確認でき るようになりました 技術資料 [アップデート]コスト最適化の決定版︕AWS Cost Explorerの推奨事項にAWS Compute Optimizerが統合されました 料⾦ AWS Cost Explorer の料⾦

167. 167 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化（起動） SHOULD

     時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化（モニターとサブスクリプション設定） SHOULD AWS Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY コスト管理

168. 168 Compute Optimizer Compute Optimizerとは コスト/パフォーマンス観点で最適なリソースを提案してくれるサービス 無料

169. 169 Compute Optimizer EC2/EBS/Auto Scaling Group/Lambdaに対応 CPU使⽤率/メモリ使⽤率/ディスクIO/NW送受信のメトリクスを基に分析 メモリ使⽤率対応には、CloudWatchエージェントの導⼊（有料）が必要

170. 170 Compute Optimizer Compute Optimizerサービスから有効化

171. 171 Compute Optimizerの参考資料 https://dev.classmethod.jp/articles/aws-compute-optimizer-tokyo/

172. 172 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化（起動） SHOULD

     時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化（モニターとサブスクリプション設定） SHOULD AWS Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY コスト管理

173. 173 Cost Anomaly Detection Cost Anomaly Detectionとは 機械学習によりコスト異常の検出を⾏うサービス 異常のしきい値（ドル）を定めたアラート設定ができる 無料

174. 174 Cost Anomaly Detection 例）コスト異常を検知した例

175. 175 Cost Anomaly Detection 例）コスト異常の通知メール

176. 176 Cost Anomaly Detection 例）コスト異常の評価

177. 177 Cost Anomaly Detectionの有効化 AWSコスト管理画⾯から有効化

178. 178 Cost Anomaly Detectionの参考情報 https://dev.classmethod.jp/articles/aws- cost-anomaly-detection-ga/ https://dev.classmethod.jp/articles/aws- cost-anomaly-detection-integration-chatbot/

179. 179 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化（起動） SHOULD

     時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化（モニターとサブスクリプション設定） SHOULD AWS Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY ＄ ＄ コスト管理

180. 180 Budgets Budgetsとは 予算の管理を⾏うサービス 設定した実績コスト/予測コストのしきい値でアラート送信ができる 有料

181. 181 Budgetsの設定 例）⽉額予算として 50$ を設定した例 ⽉末に予算オーバーの予測

182. 182 Budgetsの設定 例）しきい値超過のメール通知

183. 183 Budgets Reports サービスで⽇次/週次/⽉次レポートを設定できる 予算レポートメール Budgets Reportsの設定

184. 184 Budgets Reportsの設定 予測の利⽤には 約5週間が必要 「予測済み」のトリガーでアラートを作成する場合は注意 Budgets Reportsも始めは予測が表⽰されない

185. 185 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

     Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザーによる請求情報へのアクセス設定 MAY ＄ コスト管理

186. 186 Cost and Usage Reports Cost and Usage Reports (AWSのコストと使⽤状況レポート)

     とは コストに関する詳細情報をS3に保管してくれるサービス BIツールを利⽤することで柔軟性の⾼い分析ができる 無料（ただしS3の料⾦は必要）

187. 187 Cost and Usage Reports 例）レポート情報の抜粋版（レポートは CSV形式、GZIP圧縮） lineItem/UsageStartDate lineItem/UsageEndDate lineItem/ProductCode

     lineItem/Operation product/instanceType product/operatingSystem product/region pricing/publicOnDemandCost pricing/term pricing/unit 2021-09-24T14:00:00Z 2021-09-24T15:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T15:00:00Z 2021-09-24T16:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T16:00:00Z 2021-09-24T17:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T17:00:00Z 2021-09-24T18:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T18:00:00Z 2021-09-24T19:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T19:00:00Z 2021-09-24T20:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T20:00:00Z 2021-09-24T21:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T21:00:00Z 2021-09-24T22:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T22:00:00Z 2021-09-24T23:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T23:00:00Z 2021-09-25T00:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs

188. 188 Cost and Usage Reportsの分析 レポートはAthenaやBIツールを⽤いて分析 Athenaによる分析⽅法はAWS公式ドキュメント参照 https://docs.aws.amazon.com/ja_jp/cur/latest/userguide/cur-query-athena.html

189. 189 コスト配分タグ コスト配分タグとは Cost and Usage Reports にタグ情報を追加できる機能 タグ別のコスト分析に利⽤できる すべてのリソースが対応しているわけではない

     無料

190. 190 コスト配分タグ 例）aws:createdBy タグ情報を追加した Cost and Usage Reports lineItem/UsageStartDate lineItem/UsageEndDate

     lineItem/Prod uctCode lineItem/Opera tion product/ins tanceType product/opera tingSystem product/region pricing/publicOn DemandCost pricing/term pricing/unit resourceTags/aws:createdBy 2021-09-24T14:00:00Z 2021-09-24T15:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T15:00:00Z 2021-09-24T16:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T16:00:00Z 2021-09-24T17:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T17:00:00Z 2021-09-24T18:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T18:00:00Z 2021-09-24T19:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T19:00:00Z 2021-09-24T20:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T20:00:00Z 2021-09-24T21:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T21:00:00Z 2021-09-24T22:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T22:00:00Z 2021-09-24T23:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T23:00:00Z 2021-09-25T00:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user

191. 191 コスト配分タグ 2 種類のコスト配分タグ 1) AWS⽣成コスト配分タグ 2) ユーザー定義のコスト配分タグ

192. 192 AWS⽣成コスト配分タグ 対象リソース作成時に⾃動的に付与（ユーザーは付与しない）

193. 193 ユーザー定義のコスト配分タグ 対象リソース作成時にユーザーがタグを付与する 有効化は既に付与しているタグから選択して⾏う

194. 194 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

     Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザーによる請求情報へのアクセス設定 MAY ＄ コスト管理

195. 195 Billingの設定 Billingの設定3点を検討 請求書PDFの受領 無料利⽤枠のアラート受信 請求アラートは Budgets で代替可能

196. 196 無料利⽤枠のアラート 例）S3の無料利⽤枠の 85% 以上を利⽤したことを通知するメール

197. 197 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

     Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザーによる請求情報へのアクセス設定 MAY コスト管理

198. 198 IAMユーザーによる請求情報へのアクセス設定 必要に応じて、ルートユーザー以外に請求情報へのアクセス権を付与 AdministratorAccess権限のIAMユーザーでもCostExplorerは閲覧不可

199. 199 IAMユーザーによる請求情報へのアクセス設定 マイアカウントからアクセス権を付与

200. 200 その他（命名規則、辞書登録）

201. 201 その他 カテゴリ 内容 レベル アカウントの全般設定 ⾔語、デフォルトリージョン、お気に⼊りバーの設定 MAY リソース命名規則 ⼤まかな命名規則の決定

     SHOULD 辞書登録 よく使う AWS 単語の辞書登録 INFO その他の検討事項

202. 202 アカウントの全般設定 利⽤⾔語とデフォルト表⽰リージョン、お気に⼊りバーの表⽰形式を変更できる 利⽤⾔語 サインイン時の デフォルトリージョン指定 お気に⼊りバーの表⽰形式

203. 203 ⾔語とのお気に⼊り設定 アカウントの「設定」から変更する

204. 204 その他 カテゴリ 内容 レベル アカウントの全般設定 ⾔語、デフォルトリージョン、お気に⼊りバーの設定 MAY リソース命名規則 ⼤まかな命名規則の決定

     SHOULD 辞書登録 よく使う AWS 単語の辞書登録 INFO その他の検討事項

205. 205 ⼤まかな命名規則の決定 命名規則を決めておかないと・・・リソース作成者以外理解できなくなる

206. 206 はじめからすべてのサービスの命名規則を細かく決めることは難しい まずはざっくり定めて進めるのが良い 「要素」と「順番」を決めてハイフンで区切るだけ ①システム名 ②環境 ③サービス名 ④リージョン 要素 ②-①-③-④

     ③-④-①-② 順番 ⼤まかな命名規則の決定

207. 207 「要素」が必要かどうかを判断 ⼤まかな命名規則の決定 要素 例 必要有無の判断 システム名 devio, techblog 同じアカウントに複数システムがある場合は必須レベル

     アカウント毎にシステムを分けている場合でも、 アカウント選択ミスを防ぐ⽬的で付与も有効 環境 prod, stg, dev 同じアカウントに複数システムがある場合は必須レベル 環境毎にアカウントを分けている場合でも、 アカウント選択ミスを防ぐ⽬的で付与も有効 AWSを開発⽤途でしか使わない等、今後の利⽤⽅針が決まっている 場合は不要でもよい

208. 208 「要素」が必要かどうかを判断 ⼤まかな命名規則の決定 要素 例 必要有無の判断 サービス名 vpc, alb 必須レベル

     リージョン tokyo, tyo, tk 複数リージョンを使うシステムの場合は付与を検討 リージョン違いで作業していることに気づきやすくなる 付与するとリソース名が⻑くなりがち ユーザー名/ チーム名/ 部署名 hana 1group 1bumon 1つのアカウントを複数ユーザー/チーム/部署で共有して利⽤する 場合に付与を検討

209. 209 「順番」はアクセス制御のしやすさやソートのしやすさで決定 同じアカウトに複数システムが混在 「システム名」を先頭へ 開発環境と本番環境が混在 「環境」を先頭へ 同じアカウントを複数ユーザーで利⽤ 「ユーザー名」を先頭へ ⼤まかな命名規則の決定

210. 210 背景 ・1つのアカウント内に複数システムがあり、システム毎に管理組織が異なる ・特定のシステムのみ操作できるアクセス制御を⾏う必要がある ・開発環境も同じアカウントに存在する 命名規則 [システム名]-[環境]-[サービス名] devio-prod-vpc techblog-dev-vpc ⼤まかな命名規則の決定例

211. 211 背景 ・AWSは将来も含めて検証開発⽤途でしか使わない（勉強⽤環境など） ・複数のユーザーが1つのアカウントを共有して利⽤している ・AWSアカウントの管理者はユーザー毎の利⽤状況を確認しやすくしたい 命名規則 [ユーザー名]-[システム名]-[サービス名] hana-devio-vpc taka-techblog-vpc ⼤まかな命名規則の決定例

212. 212 同じサービスでもリソース毎に役割が異なる場合は「役割情報」を付与 サブネット ︓public, private, protected EC2インスタンス ︓web, ap, db,

     bastion グローバルで⼀意な命名が必要な場合は「追加の⽂字列」付与も検討 S3のバケット名 ︓sysname-dev-bucket-suffix 複数同じ役割のリソースが複数ある場合は「連番」を付与 EC2インスタンス ︓web-01, web-02 サービス毎の追加情報も検討必要

213. 213 命名規則のブログ紹介 https://dev.classmethod.jp/articles/aws-name-rule/

214. 214 その他 カテゴリ 内容 レベル アカウントの全般設定 ⾔語、デフォルトリージョン、お気に⼊りバーの設定 MAY リソース命名規則 ⼤まかな命名規則の決定

     SHOULD 辞書登録 よく使う AWS 単語の辞書登録 INFO その他の検討事項

215. 215 よく使うAWS関連の単語は辞書登録しておくと便利︕ 辞書登録 登録内容 よみがな 単語 アカウントID まいあかうんと 111122223333 リージョン名

     とうきょうりーじょん ap-northeast-1 AWSサービス名 くらうどとれいる CloudTrail

216. 216 最後にもう⼀度、やること⼀覧

217. 217 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail ログ⻑期保管のための設定（証跡の作成） MUST CloudTrail

     Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 MAY AWS Config 有効化（レコーダーの作成） MUST Config ルールの作成 MAY ＄ ＄ ＄ ＄ ＄ AWSリソース操作の記録

218. 218 サービス名 内容 レベル AWS Health Dashboard 通知設定 SHOULD AWS

     Trusted Advisor 通知設定 MAY Amazon DevOps Guru 有効化 MAY Amazon S3 Storage Lens ダッシュボードの作成 MAY ログ・モニタリング ＄ ＄ ＄ AWSサービス/アプリケーションのモニタリング

219. 219 セキュリティ サービス名 実施内容 レベル AWS IAM (ルートユーザー) MFA 認証の設定

     MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザー/グループの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化（アナライザーの作成） SHOULD マネジメントコンソール IP アドレス制限 MAY ユーザー管理のセキュリティ

220. 220 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SHOULD S3/Kubernetes

     保護の有効化 SHOULD 信頼されている／驚異IPリストの作成 MAY 通知設定 SHOULD AWS Security Hub 有効化 SHOULD 通知設定 MAY Amazon Detective 有効化 SHOULD ＄ ＄ ＄ ＄ ＄ セキュリティイベントの検出と調査

221. 221 セキュリティ サービス名 実施内容 レベル Amazon VPC デフォルト VPC の削除

     SHOULD Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY 個別サービスのセキュリティ設定 ＄

222. 222 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 - 秘密の質問の設定 SHOULD

     代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 - AWS サポート 必要なサポートに加⼊ MAY ＄ アカウント設定とサポート

223. 223 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化（起動） SHOULD

     時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化（モニターとサブスクリプション設定） SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY ＄ ＄ ＄ ＄ コスト管理

224. 224 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

     Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザーによる請求情報へのアクセス設定 MAY ＄ ＄ コスト管理

225. 225 その他 カテゴリ 内容 レベル アカウントの全般設定 ⾔語、デフォルトリージョン、お気に⼊りバーの設定 MAY リソース命名規則 ⼤まかな命名規則の決定

     SHOULD 辞書登録 よく使う AWS 単語の辞書登録 INFO その他の検討事項

226. 226 まとめ

227. 227 まとめ AWS で最初にやるべきことを 「ログ・モニタリング」「セキュリティ」「契約・コスト 」 の観点 ＋ おまけ付き でまとめました

     ぜひご活⽤ください︕

228. 228 アカウントベースライン設定の参考ブログ https://dev.classmethod.jp/articles/aws-security-operation-bestpractice-on-secure-account/

229. 229 ⾃⼰紹介 yhana AWS事業本部 コンサルティング部 エキスパートソリューションアーキテクト 2022 APN AWS Top

     Engineers
230. None