AWSアカウントを作ったら最初にやるべきこと 〜2021年版〜

Transcript

1. AWSアカウントを作ったら最初にやるべきこと 〜2021年版〜 2021/10/12 AWS事業本部 コンサルティング部 yhana

2. 2 概要 AWS で最初にやるべきことを 「ログ・モニタリング」「セキュリティ」「契約・コスト 」 の観点で紹介

3. 3 ⽬的 AWS を使い始めたが とりあえず使った⽅がよいサービスはあるのだろうか セキュリティは⼤丈夫だろうか・・・ いつの間にか利⽤料が⾼額になっていないか⼼配だ まるっと解決︕

4. 4 概要 の2021年更新版 https://dev.classmethod.jp/articles/aws-1st-step-new-era-reiwa/

5. 5 話すこと／話さないこと 話すこと 最初にやるべきことを広く浅く紹介 話さないこと AWS アカウントの開設⼿順 各サービスの詳細な設定⽅法 各サービスの料⾦ 代わりにブログを紹介︕

6. 6 AWSアカウント開設 https://dev.classmethod.jp/articles/create-an-aws-account-2021/

7. 7 やるべきこと⼀覧

8. 8 やるべきことのカテゴリ ログ・モニタリング セキュリティ 契約・コスト その他（命名規則など）

9. 9 やるべきことのレベル設定 MUST 必須でやること SHOULD 明確な理由が無い限りやるべきこと MAY 条件によってやる／やらないが決まること INFO 関連する役⽴ち情報

10. 10 やるべきことの料⾦ ＄ 有料 ＄ 基本無料 ＋ オプション機能が有料 設定は無料 ＋

    連携サービス (S3等) が有料 記載なし 無料、もしくは、極めて安価

11. 11 レベル設定は個⼈の⾒解です 料⾦は設定内容に変わるため参考情報です 注意事項

12. 12 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化（証跡の作成） MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化（レコーダーの作成） MUST Config ルールの作成 SHOULD ＄ ＄ ＄ ＄ ＄

13. 13 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon

    S3 Storage Lens 有効化（ダッシュボードの作成） SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング ＄ ＄ ＄ ＄

14. 14 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA

    認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化（アナライザーの作成） SHOULD マネジメントコンソール IP アドレス制限 MAY

15. 15 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3

    保護の有効化 SLOUD 信頼されている／驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD ＄ ＄ ＄ ＄ ＄

16. 16 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD

    デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY ＄

17. 17 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD

    代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY ＄

18. 18 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD

    時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化（モニターとサブスクリプション設定） SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY ＄ ＄ ＄ ＄

19. 19 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

    Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY ＄ ＄

20. 20 その他 カテゴリ 内容 レベル リソース命名規則 ⼤まかな命名規則の決定 SHOULD 辞書登録 よく使う

    AWS 単語の辞書登録 INFO

21. 21 ログ・モニタリング

22. 22 AWS リソース操作の記録

23. 23 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化（証跡の作成） MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化（レコーダーの作成） MUST Config ルールの作成 SHOULD ＄ ＄ ＄

24. 24 CloudTrail CloudTrailとは AWSを「誰が」「いつ」「何に」対して「どうような」操作をしたのかを 記録するサービス ログ保存をしていないと・・・ トラブルやインシデント発⽣時に解析ができない セキュリティ監査ができない

25. 25 CloudTrail 例）マネジメントコンソールへのサインインのログ

26. 26 CloudTrail 例）EC2 Instance の起動ログ イベントは JSON 形式

27. 27 CloudTrail の有効化 １つのリージョンの設定で全リージョン有効化可能 ログの暗号化は要件に応じて ログファイルの検証は有効推奨 対象イベントは最低限「管理イベント」の「読み取り」「書き込み」 Insights もイベント対象に追加推奨（あとで） CloudWatch

    Logs への転送可能

28. 28 CloudTrail の有効化 https://www.youtube.com/watch?v=erDYixgVJ0o

29. 29 CloudTrail Insights CloudTrail Insights とは 機械学習により異常なアクティビティを検出するサービス

30. 30 CloudTrail Insights 例）短い時間で Network ACLの 連続削除を検知

31. 31 CloudTrail の S3/CloudWatch Logs転送 CloudTrail のログ転送先 転送先 ⽬的 備考

    S3 ⻑期的な保管 - CloudWatch Logs 回数条件でアラートを作成したい場合など オプション

32. 32 CloudTrail の S3/CloudWatch Logs転送 S3保管の考慮事項 保存期間 管理 → ライフサイクルルール

    から設定 暗号化 プロパティ → デフォルトの暗号化 から設定 アクセス制御 アクセス許可 から設定 アクセスログ プロパティ → サーバーアクセスのログ記憶 から設定 オブジェクトロック バケット作成時に有効化（あとから有効はサポート）

33. 33 Athena によるログ検索 Athena とは SQL を使⽤した S3 のデータ検索を⾏うサービス CloudTrail

    サービスから Athena テーブル作成を実⾏して利⽤ 有料

34. 34 Athena によるログ検索 https://dev.classmethod.jp/articles/cloudtrail-athena/

35. 35 CloudTrail の参考情報 種別 タイトル（リンク） 技術情報 [アップデート] CloudTrail Insights で異常アクティビティの統計情報が提供されるよう

    になりました 技術情報 Amazon S3の暗号化について調べてみた。 技術情報 S3オブジェクトのロック（なにをどうやっても改竄削除が不可）がリリースされま した︕ #reinvent 料⾦ 料⾦ - AWS CloudTrail | AWS

36. 36 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化（証跡の作成） MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化（レコーダーの作成） MUST Config ルールの作成 SHOULD

37. 37 マネジメントコンソールのサインイン通知 EventBridge を利⽤してマネジメントコンソールへのサインインを通知

38. 38 マネジメントコンソールのサインイン通知の作成 https://dev.classmethod.jp/articles/aws-management-console-sign-in-notice/

39. 39 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化（証跡の作成） MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化（レコーダーの作成） MUST Config ルールの作成 SHOULD ＄ ＄

40. 40 Config Config とは AWS リソースのインベントリと変更の追跡を担うサービス 有効化していないと・・・ AWS リソースの変更履歴の追跡が⾯倒 監査の⼿間が増加

41. 41 Config 例）EC2 のタイムライン EC2 起動 EC2 起動 インスタンスタイプ変更 EC2

    停⽌

42. 42 Config の有効化 有効化はリージョン毎に設定 記憶するレコードタイプは選択可能（はじめはすべてのリソースでよいかも） グローバルリソースは１つのリージョンのみ有効でよい メインで利⽤している リージョン 他リージョン Config

    の有効化作業 ◦ ◦ グローバルリソースを含める ◦ -

43. 43 Config の有効化 https://www.youtube.com/watch?v=E8GY09aEwnE&t=79s

44. 44 Config ルール Config ルールでリソースの設定内容を評価（監査）できる ルールの種別 概要 導⼊難易度 マネージドルール AWSが提供するConfigルール

    易しい カスタムルール ユーザが作成するConfigルール 難しい

45. 45 Config ルール 例）restricted-ssh︓IPアドレス制限無しでSSH開放しているSGを検知

46. 46 Config ルール マネージドルール名 概要 restricted-ssh セキュリティグループの受信SSHトラフィック のIPアドレスが制限されているかを確認 vpc-flow-logs-enabled VPCに対してVPCフローログが有効になってい

    るかを確認 rds-cluster-deletion-protection-enabled RDSクラスターに対して削除保護が有効になっ ているかを確認 マネージドルール（⼀部抜粋）

47. 47 Config の参考情報 種別 タイトル（リンク） 技術情報 AWS Config マネージドルールのリスト 料⾦

    AWS Configの料⾦

48. 48 サービス/アプリのモニタリング

49. 49 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon

    S3 Storage Lens 有効化（ダッシュボードの作成） SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング ＄

50. 50 DevOps Guru DevOps Guruとは 機械学習により運⽤パターンから逸脱したアプリケーション動作を 検出するサービス 事後（異常が発⽣した後）と予測（異常が発⽣する前）の両⽅を検出 有料

51. 51 DevOps Guru 例）DynamoDB のスロットルに関する異常を検出

52. 52 DevOps Guru 例）関連するイベント情報から異常となる直前の操作（原因）を確認

53. 53 DevOps Guru の有効化 https://dev.classmethod.jp/articles/amazon-devops-guru-ga/

54. 54 DevOps Guru の参考情報 種別 タイトル（リンク） 技術情報 Amazon DevOps Guru

    の特徴 料⾦ Amazon DevOps Guru の料⾦

55. 55 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon

    S3 Storage Lens 有効化（ダッシュボードの作成） SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング ＄

56. 56 S3 Storage Lens S3 Storage Lens とは S3の使⽤状況とアクティビティの傾向を可視化し、 コストやデータ保護に関する推奨事項の提案をしてくれるサービス

    ⼀部無料、⾼度なメトリクスとレコメンデーションは有料

57. 57 S3 Storage Lens 例）S3 の利⽤状況の概要

58. 58 S3 Storage Lens 例）各バケットのストレージサイズの分析 バケット毎のストレージ合計サイズ オブジェクトサイズと オブジェクト数のバブル分析

59. 59 S3 Storage Lens の設定 https://dev.classmethod.jp/articles/amazon-s3-storage-lens/

60. 60 S3 Storage Lens の参考情報 種別 タイトル（リンク） 料⾦ Amazon S3

    の料⾦

61. 61 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon

    S3 Storage Lens 有効化（ダッシュボードの作成） SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング ＄

62. 62 Personal Health Dashboard Personal Health Dashboard とは 作成したリソースが障害やメンテナンスの影響を受けているか 確認できるサービス

63. 63 Personal Health Dashboard 例）過去のイベントログ

64. 64 Personal Health Dashboard の通知設定 イベントを通知できる 設定⽅法は AWS 公式ドキュメント参照 https://docs.aws.amazon.com/ja_jp/health/latest/ug/cloudwatch-events-health.html

65. 65 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon

    S3 Storage Lens 有効化（ダッシュボードの作成） SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング ＄

66. 66 Trusted Advisor Trusted Advisor とは コスト最適化、パフォーマンス、セキュリティ、対障害性、サービスの制限 に関して推奨事項に沿っているか確認してくれるサービス 無料 すべてのチェック項⽬利⽤にはビジネスサポートプラン以上が必要

67. 67 Trusted Advisor 例）セキュリティのチェック項⽬

68. 68 Trusted Advisor 連絡先へのメール通知設定

69. 69 セキュリティ

70. 70 IAM のセキュリティ

71. 71 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA

    認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化（アナライザーの作成） SHOULD マネジメントコンソール IP アドレス制限 MAY

72. 72 root ユーザ root ユーザとは アカウント作成に使⽤したメールアドレスとパスワードを使⽤するユーザ すべてのAWSサービスとリソースへの完全なアクセス権を持つ 普段の作業には利⽤しないこと サポート契約等、root にしかできない操作を⾏う場合のみ利⽤

73. 通常作業時は root ではなく、IAM ユーザ／IAM グループを利⽤ IAM ユーザは AWS アカウント内で定義するユーザ AWS

    アカウント 73 IAM ユーザ IAM グループ IAM ユーザ IAM ユーザ IAM グループ IAM ユーザ IAM ユーザ

74. 74 IAM ポリシー IAM グループに対して、役割に応じた権限（IAM ポリシー）を付与 AWS アカウント AdministratorAccess ViewOnlyAccess

    IAM グループ IAM ユーザ IAM ユーザ IAM グループ IAM ユーザ IAM ユーザ

75. 75 IAM ポリシー IAM ポリシーには、AWS が提供している「AWS 管理ポリシー」と ユーザが作成する「ユーザ管理ポリシー」 がある AWS

    管理ポリシー名 概要 AdministratorAccess AWSサービスとリソースへのフルアクセス権限 ViewOnlyAccess すべてのAWSサービスのリソース、および、基本的なメタデータ の閲覧権限 AmazonEC2FullAccess AWSマネジメントコンソールによるEC2へのフルアクセス権限

76. 76 root ユーザのやるべきこと root ユーザの推奨事項は IAM サービス上でレコメンドされる 1) MFA 認証の設定

    2) アクセスキーの削除

77. 77 root ユーザのやるべきこと root にアクセスキーがある場合 https://console.aws.amazon.com/iam/home#/security_credentials

78. 78 アクセスキー アクセスキーとは CLI やプログラムから API にリクエストする際に利⽤する認証情報 IAM ユーザ単位で発⾏できる 利⽤する場合は定期的にキーを更新

    利⽤しない場合は削除

79. 79 IAM ユーザの設定 パスワードポリシーの作成 IAM グループ、IAM ポリシーの作成 IAM ポリシーを IAM

    グループにアタッチ IAM ユーザを作成して IAM グループに所属 IAM ユーザの MFA 認証の設定

80. 80 パスワードポリシーの設定 パスワードポリシーを IAM の「アカウント設定」から変更

81. 81 パスワードポリシーの設定 セキュリティ要件に沿ったパスワードポリシーを設定

82. 82 IAM ユーザの設定 https://www.youtube.com/watch?v=XyAoL_2RHSU

83. 83 アカウントエイリアス アカウントエイリアス名でサインインができる エイリアス名 マネジメントコン ソールのサインイン URLもエイリアス名 でアクセス可能

84. 84 アカウントエイリアス 設定は IAM サービスから実施

85. 85 IAM の参考情報 種別 タイトル（リンク） 技術情報 IT未経験の初⼼者がIAMを理解しようとしてみた 技術情報 AWS再⼊⾨ブログリレー AWS

    Identity and Access Management (IAM)編 料⾦ AWS Identity and Access Management (IAM) よくある質問

86. 86 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA

    認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化（アナライザーの作成） SHOULD マネジメントコンソール IP アドレス制限 MAY

87. 87 IAM Access Analyzer IAM Access Analyzer とは 外部エンティティに対するアクセス許可状況を確認できるサービス 外部エンティティ︓外部

    AWS アカウントや IdP (Identity Provider) 等

88. 88 IAM Access Analyzer の運⽤ 111122223333 アカウントID︓111122223333 の IAM ユーザ「test-user」に対して、

    AdministratorAccess 権限を与えている 意図して与えた権限なのかどうか確認 意図した結果はアーカイブ、意図していない場合は対処 スキャン結果

89. 89 IAM Access Analyzer の有効化 IAM サービスからリージョン毎に有効化

90. 90 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA

    認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化（アナライザーの作成） SHOULD マネジメントコンソール IP アドレス制限 MAY

91. 91 マネジメントコンソールのIPアドレス制限 IAM ロールの機能を利⽤することで、 マネジメントコンソールへサインインできる IP アドレスを制限できる

92. 92 マネジメントコンソールのIPアドレス制限 https://dev.classmethod.jp/articles/20170215_amc-sourceip-restriction/

93. 93 セキュリティイベントの検出と調査

94. 94 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3

    保護の有効化 SLOUD 信頼されている／驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD ＄ ＄ ＄

95. 95 GuardDuty GuardDuty とは AWS 環境のセキュリティを継続的にモニタリングして、 機械学習により異常を検知してくれるサービス

96. 96 GuardDuty 例）EC2がC＆C（Command and Control）サーバと通信していることを検知

97. 97 GuardDuty の運⽤ 検知結果に問題がある場合は対処 問題がない場合はアーカイブ

98. 98 GuardDuty の有効化 GuardDuty サービスから利⽤するリージョン毎に設定

99. 99 GuardDuty の主なオプション機能と設定 オプション機能 信頼されている IP リスト/驚異 IP リストの登録 S3

    保護の有効化 設定 CloudWatch Events へのデータ送信間隔15分に変更 ＋ 通知設定 S3 バケットへのエクスポート設定

100. 100 信頼されているIPリスト/驚異IPリストの登録 信頼できる/驚異となる IP アドレスを事前に登録しておくことで精度向上 TrustedIPAdressList.txt 54.20.175.217 205.0.0.0/8

101. 101 信頼されているIPリスト/驚異IPリストの登録 https://dev.classmethod.jp/articles/guardduty-generate-findings-test/

102. 102 S3 保護 S3 保護とは S3 へのデータアクセスに関する脅威検出ができるになる設定

103. 103 S3 保護 例）Tor から S3 へのアクセスを検知

104. 104 S3 保護の設定 GuardDuty の設定画⾯から有効化

105. 105 CloudWatch Events へのデータ送信 CloudWatch Events へのデータ送信間隔を 6時間 → 15分

     に変更 検知結果の通知を早くすることができる 後述する Detective サービスで早期調査ができる 合わせて、GuardDuty 検知結果の通知設定

106. 106 CloudWatch Events へのデータ送信 GuardDuty の設定画⾯から変更

107. 107 GuardDuty の通知設定 https://dev.classmethod.jp/articles/event-notification-from-guardduty-easier-to-see/

108. 108 S3 へのエクスポート 検出結果を S3 にエクスポート可能 他のアカウントにも転送して複数アカウントの結果を集約することも可能 S3 の料⾦発⽣

109. 109 S3 へのエクスポートの設定 https://dev.classmethod.jp/articles/guardduty-supports-exporting-findings-to-an-amazon-s3-bucket/

110. 110 S3 へのエクスポートの設定（CloudFormation） https://dev.classmethod.jp/articles/guardduty-export-s3/

111. 111 GuardDuty の参考情報 種別 タイトル（リンク） 技術資料 [2021年版]Amazon GuardDutyによるAWSセキュリティ運⽤を考える 技術資料 ⼀発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った

     技術資料 [アップデート] Amazon GuardDuty で S3 への不審なアクティビティを脅威検出できる ようになりました︕ 料⾦ Amazon GuardDuty の料⾦ 料⾦ 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた

112. 112 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3

     保護の有効化 SLOUD 信頼されている／驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD ＄

113. 113 Security Hub Security Hub とは 1) セキュリティサービスの検知結果を⼀元管理できるサービス 2) セキュリティ基準に基づいてリスクを評価するサービス

     有料（30⽇間の無料トライアルあり）

114. 114 セキュリティ基準 事前に定義されたセキュリティ基準（Security Standard）で環境を評価 ⽬指せ 100点︕

115. 115 セキュリティ基準 例）EC2 に関する基準のチェック結果

116. 116 セキュリティ基準の運⽤ 基準を満たせていない「失敗」の項⽬を精査 対処をする、もしくは、対処不要な項⽬は消し込み セキュリティスコア 100点︕

117. 117 対処不要な項⽬の消し込み 例）EBS の暗号化がセキュリティ条件上必須ではない場合、 「無効化」により評価対象外とする

118. 118 Security Hub の有効化 Security Hub サービスからリージョン毎に設定

119. 119 Security Hub の有効化 利⽤するセキュリティ基準が未定の場合は、次の2つをとりあえず有効化 1) AWS 基礎セキュリティのベストプラクティス 2) CIS

     AWS Foundations Benchmark

120. 120 Security Hub の通知 各セキュリティサービスで検知した結果は通知できる 例）通知内容を加⼯した通知メール

121. 121 Security Hub の通知設定 https://dev.classmethod.jp/articles/security-hub-events-lambda-sns-email/

122. 122 GuardDuty の参考情報 種別 タイトル（リンク） 技術資料 [⼊⾨]社内勉強会で AWS Security Hubの話をしました

     技術資料 うわっ…私のセキュリティスコア低すぎ…︖Security HubのCISベンチマークの俺流 チューニングで100%準拠を⽬指す 料⾦ AWS Security Hub の料⾦

123. 123 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3

     保護の有効化 SLOUD 信頼されている／驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD ＄

124. 124 Detective Detective とは セキュリティイベントの調査を容易にするサービス GuardDuty や Security Hub と連携

     有料（30⽇間の無料トライアルあり）

125. 125 Detective 例）IAM ユーザの調査

126. 126 Detective 例）IAM ユーザの調査

127. 127 Detective GuardDuty のイベントから直接 Detective を参照して調査可能

128. 128 Detective の有効化 Detective サービスから利⽤するリージョン毎に設定 GuardDuty の有効化が前提（有効化後少なくとも48時間経過が必要） 2021年9⽉時点で⼤阪リージョン未サポート

129. 129 Detective の有効化（CloudFormation） https://dev.classmethod.jp/articles/enable-detective-cfn-stacksets/

130. 130 Detective の参考情報 種別 タイトル（リンク） 技術資料 [アップデート] AWS 環境の調査がすこぶる捗る︕Amazon Detective

     が利⽤可能になっ ていた︕（30⽇間の無料トライアル付き） 技術資料 [神ツール]セキュリティインシデントの調査が捗るAmazon DetectiveがGAしたのでメ リットとオススメの使い⽅を紹介します 料⾦ Amazon Detective の料⾦

131. 131 個別サービスのセキュリティ設定

132. 132 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD

     デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY ＄

133. 133 VPC フローログ VCP フローログとは VPC のトラフィック情報をログとして保管する機能 無料だが、ログの転送先サービス（CloudWatch, S3）は有料

134. 134 VPC フローログ 例）CloudWatch に転送した VPC フローログ

135. 135 VPC フローログ フローログの内容 アカウント 123456789010 のネットワークインターフェイス eni-1235b8ca123456789 への SSH

     トラ フィック (宛先ポート 22、TCP プロトコル) が許可 2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK アカウント 123456789010 のネットワークインターフェイス eni-1235b8ca123456789 への RDP トラ フィック (宛先ポート 3389、TCP プロトコル) が拒否 2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK フローログの各フィールド情報 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html#flow-log-records

136. 136 VPC フローログの設定 AWS 公式ドキュメント参照 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/working-with-flow-logs.html

137. 137 VPC フローログの分析（Athena） https://dev.classmethod.jp/articles/vpc-flow-logs-athena/

138. 138 デフォルト VPC 各リージョンにデフォルトで VPC が1個ずつ存在 VPC を作成する場合や利⽤しないリージョンではデフォルト VPCを削除 デフォルト

     VPC のサブネット設定はグローバル IPv4 の⾃動割り当てが有効 削除により意図しないインターネット公開の危険性を少しでも低減可能

139. 139 デフォルト VPC の削除⽅法 https://dev.classmethod.jp/articles/tsnote-vpc-delete-default-resources/

140. 140 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD

     デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY

141. 141 EC2 (EBS) のデフォルト暗号化設定 EBS のデフォルト設定は暗号化無し セキュリティ要件で暗号化が必須の場合は、デフォルトを暗号化実施に変更

142. 142 EC2 (EBS) のデフォルト暗号化設定 EC2 ダッシュボードからリージョン毎に設定

143. 143 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD

     デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY

144. 144 S3 のアカウントのブロックパブリックアクセス設定 アカウントすべての S3 のパブリックアクセスを⼀括でブロックできる S3 をインターネットに公開しないアカウントでは、 ブロック設定により誤った公開を防⽌できる

145. 145 S3 のアカウントのブロックパブリックアクセス設定 S3 サービスから設定

146. 146 S3 のアカウントのブロックパブリックアクセス設定 オブジェクトを公開しようとした場合はエラー

147. 147 契約・コスト

148. 148 アカウント設定 準拠法 サポート

149. 149 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD

     代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY

150. 150 マイアカウント設定 各種設定は root ユーザでマイアカウントから実施

151. 151 お⽀払い通貨の設定 必要に応じて、⽇本円の請求に変更

152. 152 秘密の質問の設定 アカウント所有者であることを確認するための「秘密の質問」を設定 ⼀度設定すると削除できない、変更は可能

153. 153 代替の連絡先の設定 必要に応じて、root ユーザのメールアドレス以外の連絡先を追加 経理担当やセキュリティ担当の関係者など 連絡先タイプ 連絡内容の例 請求 請求書の連絡 オペレーション

     サービスが利⽤できない場合の連絡 セキュリティ セキュリティ上の問題やセキュリティトピックの連絡

154. 154 代替の連絡先の設定

155. 155 デフォルト無効リージョンの確認 必要に応じて、デフォルト無効のリージョンを確認

156. 156 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD

     代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY

157. 157 準拠法を⽇本法に変更 AWS カスタマーアグリメントのデフォルトの準拠法は⽶国ワシントン州法 Artifact サービスから 準拠法を⽇本法、紛争に関する第⼀審裁判所を東京地⽅裁判所に変更できる

158. 158 準拠法を⽇本法に変更 https://dev.classmethod.jp/articles/aws-change-governing-law-to-japan/

159. 159 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD

     代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY ＄

160. 160 サポートに加⼊ 要件に合うサポートに加⼊ 主な違い 技術サポート体制 サポート問い合わせ⽅法 ケースの応答時間 Trusted Advisor のチェック項⽬数

     料⾦ 詳しいサポートプランの⽐較と料⾦は AWS 公式ドキュメント参照 https://aws.amazon.com/jp/premiumsupport/plans/

161. 161 コスト管理

162. 162 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD

     時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化（モニターとサブスクリプション設定） SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY ＄ ＄

163. 163 Cost Explorer Cost Explorerとは 実績/予測コストの可視化サービス Cost Explorer API の利⽤やオプション機能は有料

164. 164 Cost Explorer 例）直近1週間のサービス別利⽤料

165. 165 Cost Explorer 例）1週間後の予測コストの表⽰

166. 166 Cost Explorer の有効化 請求コンソールもしくは AWS コスト管理画⾯から起動（有効化）

167. 167 Cost Explorer 2 つのオプション設定 1) 時間単位とリソースレベルのデータ 2) サイズの適正化に関する推奨事項を受け取る

168. 168 時間単位とリソースレベルのデータ 初期設定は「毎時」表⽰や「リソース」単位の表⽰は選択できない 追加料⾦（毎⽉ UsageRecord 1,000 個あたり 0.01 USD）で利⽤可能

169. 169 時間単位とリソースレベルのデータの有効化 AWS コスト管理の設定から有効化

170. 170 サイズの適正化に関する推奨事項 CPU 使⽤率等のメトリクス情報から EC2 インスタンスの推奨タイプを提⽰ 現在のタイプ 1vCPU 1GiBメモリ 推奨のタイプ

     1vCPU 0.5GiB

171. 171 サイズの適正化に関する推奨事項の有効化 AWS コスト管理の設定から有効化

172. 172 Cost Explorer の参考情報 種別 タイトル（リンク） 技術資料 [アップデート] AWS Cost

     Explorer が時間単位およびリソースレベルの粒度で確認でき るようになりました 技術資料 [アップデート]コスト最適化の決定版︕AWS Cost Explorerの推奨事項にAWS Compute Optimizerが統合されました 料⾦ AWS Cost Explorer の料⾦

173. 173 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD

     時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化（モニターとサブスクリプション設定） SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY

174. 174 Compute Optimizer Compute Optimizer とは コスト/パフォーマンス観点で最適なリソースを提案してくれるサービス 無料

175. 175 Compute Optimizer EC2/EBS/Auto Scaling Group/Lambdaに対応 CPU使⽤率/メモリ使⽤率/ディスクIO/NW送受信のメトリクスを基に分析 メモリ使⽤率対応には、CloudWatch エージェントの導⼊（有料）が必要

176. 176 Compute Optimizer Compute Optimizer サービスから有効化

177. 177 Compute Optimizer の参考資料 https://dev.classmethod.jp/articles/aws-compute-optimizer-tokyo/

178. 178 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD

     時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化（モニターとサブスクリプション設定） SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY

179. 179 Cost Anomaly Detection Cost Anomaly Detection とは 機械学習によりコスト異常の検出を⾏うサービス 無料

180. 180 Cost Anomaly Detection 例）コスト異常を検知した例

181. 181 Cost Anomaly Detection 例）コスト異常の通知メール

182. 182 Cost Anomaly Detection 例）コスト異常の評価

183. 183 Cost Anomaly Detection の有効化 AWS コスト管理画⾯から有効化

184. 184 Cost Anomaly Detection の参考情報 https://dev.classmethod.jp/articles/aws-cost-anomaly-detection-ga/

185. 185 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD

     時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化（モニターとサブスクリプション設定） SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY ＄ ＄

186. 186 Budgets Budgets とは 予算の管理を⾏うサービス 設定した実績/予測コストのしきい値でアラート送信も可能 有料

187. 187 Budgets の設定 例）⽉額予算として50＄を設定した例 ⽉末に予算オーバーの予測

188. 188 Budgets の設定 例）しきい値超過のメール通知

189. 189 Budgets Reports サービスで⽇次/週次/⽉次レポートを設定できる 毎⽇の予算レポートメール Budgets Reports の設定

190. 190 Budgets Reports の設定 予測の利⽤には 約5週間が必要 「予測済み」のトリガーでアラートを作成する場合は注意 Budgets Reports も始めは予測がない

191. 191 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

     Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY ＄

192. 192 Cost and Usage Reports Cost and Usage Reports (AWS

     のコストと使⽤状況レポート) とは コストに関する詳細情報を S3 に保管してくれるサービス BI ツール等を利⽤することで柔軟性の⾼い分析ができる 無料（ただし S3 の料⾦は必要）

193. 193 Cost and Usage Reports 例）レポート情報の抜粋版（レポートは CSV形式、GZIP圧縮） lineItem/UsageStartDate lineItem/UsageEndDate lineItem/ProductCode

     lineItem/Operation product/instanceType product/operatingSystem product/region pricing/publicOnDemandCost pricing/term pricing/unit 2021-09-24T14:00:00Z 2021-09-24T15:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T15:00:00Z 2021-09-24T16:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T16:00:00Z 2021-09-24T17:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T17:00:00Z 2021-09-24T18:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T18:00:00Z 2021-09-24T19:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T19:00:00Z 2021-09-24T20:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T20:00:00Z 2021-09-24T21:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T21:00:00Z 2021-09-24T22:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T22:00:00Z 2021-09-24T23:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T23:00:00Z 2021-09-25T00:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs

194. 194 Cost and Usage Reports の分析 レポートは Athena や BI

     ツールを利⽤して分析 Athena による分析はAWS公式ドキュメント参照 https://docs.aws.amazon.com/ja_jp/cur/latest/userguide/cur-query-athena.html

195. 195 コスト配分タグ コスト配分タグとは Cost and Usage Reports にタグ情報を追加できる機能 タグ情報を分析に利⽤できる すべてのリソースが対応しているわけではない

     無料

196. 196 コスト配分タグ 例）aws:createdBy タグ情報を追加した Cost and Usage Reports lineItem/UsageStartDate lineItem/UsageEndDate

     lineItem/Prod uctCode lineItem/Opera tion product/ins tanceType product/opera tingSystem product/region pricing/publicOn DemandCost pricing/term pricing/unit resourceTags/aws:createdBy 2021-09-24T14:00:00Z 2021-09-24T15:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T15:00:00Z 2021-09-24T16:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T16:00:00Z 2021-09-24T17:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T17:00:00Z 2021-09-24T18:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T18:00:00Z 2021-09-24T19:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T19:00:00Z 2021-09-24T20:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T20:00:00Z 2021-09-24T21:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T21:00:00Z 2021-09-24T22:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T22:00:00Z 2021-09-24T23:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T23:00:00Z 2021-09-25T00:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user

197. 197 コスト配分タグ 2 種類のコスト配分タグ 1) AWS⽣成コスト配分タグ 2) ユーザ定義のコスト配分タグ

198. 198 AWS⽣成コスト配分タグ 対象リソース作成時に⾃動的に付与（ユーザは付与しない）

199. 199 ユーザ定義のコスト配分タグ 対象リソース作成時にユーザがタグを付与 有効化は既に付与しているタグから選択して⾏う

200. 200 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

     Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY ＄

201. 201 Billing の設定 Billing の設定3点を検討 請求書PDFの受領 無料利⽤枠のアラートの受信 請求アラートについては Budgets で代替可能

202. 202 無料利⽤枠のアラート 例）S3 の無料利⽤枠の 85% 以上を利⽤したことを通知するメール

203. 203 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

     Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY

204. 204 IAM ユーザによる請求情報へのアクセス設定 必要に応じて、root ユーザ以外に請求情報へのアクセス権を付与 AdministratorAccess 権限の IAM ユーザでも CostExplorer

     は閲覧不可

205. 205 IAM ユーザによる請求情報へのアクセス設定 マイアカウントからアクセス権を付与

206. 206 その他（命名規則、辞書登録）

207. 207 その他 カテゴリ 内容 レベル リソース命名規則 ⼤まかな命名規則の決定 SHOULD 辞書登録 よく使う

     AWS 単語の辞書登録 INFO

208. 208 ⼤まかな命名規則の決定 命名規則を決めておかないと・・・

209. 209 はじめからすべてのサービスの命名規則を細かく決めるとは難しい まずはざっくり決めるか、既にある規則を参考にする ざっくりは「要素」と「順番」を決めてハイフンで区切るだけ ①システム名 ②環境 ③サービス名 ④リージョン 要素 ②-①-③-④

     ③-④-①-② 順番 ⼤まかな命名規則の決定

210. 210 「要素」が必要かどうかを判断 ⼤まかな命名規則の決定 要素 例 必要有無の判断 システム名 devio, techblog 同じアカウントに複数システムがある場合は必須レベル

     アカウント毎にシステムを分けている場合でも、 アカウント選択ミスを防ぐ⽬的で付与も有効 環境 prod, stg, dev 同じアカウントに複数システムがある場合は必須レベル 環境毎にアカウントを分けている場合でも、 アカウント選択ミスを防ぐ⽬的で付与も有効 AWSを開発⽤途でしか使わない等、今後の利⽤⽅針が決まっている 場合は不要でもよい

211. 211 「要素」が必要かどうかを判断 ⼤まかな命名規則の決定 要素 例 必要有無の判断 サービス名 vpc, alb 必須レベル

     リージョン tokyo, tyo, tk 複数リージョンを使うシステムの場合は付与を検討 リージョン違いで作業していることに気づきやすくなる 付与するとリソース名が⻑くなりがち ユーザ名/ チーム名/ 部署名 hana 1group 1bumon 1つのアカウントを複数ユーザ/チーム/部署で共有して利⽤する 場合に付与を検討

212. 212 「順番」はアクセス制御のしやすさやソートのしやすさで決定 同じアカウトに複数システムが混在 「システム名」を先頭へ 開発環境と本番環境が混在 「環境」を先頭へ 同じアカウントを複数ユーザで利⽤ 「ユーザ名」を先頭へ ⼤まかな命名規則の決定

213. 213 背景 ・1つのアカウント内に複数システムがあり、システム毎に管理組織が異なる ・特定のシステムのみ操作できるアクセス制御を⾏う場合がある ・開発環境も同じアカウントにある 命名規則 [システム名]-[環境]-[サービス名] devio-prod-vpc techblog-dev-vpc ⼤まかな命名規則の例

214. 214 背景 ・AWS は将来含めて検証開発⽤途でしか使わない ・複数のユーザが1つのアカウントを共有して利⽤している ・AWSアカウントの管理者はユーザ毎の利⽤状況を確認しやすくしたい 命名規則 [ユーザ名/チーム名]-[システム名]-[サービス名] hana-devio-vpc 1group-techblog-vpc

     ⼤まかな命名規則の例

215. 215 同じサービスでもリソース毎に役割が異なる場合は「役割情報」を付与 サブネット ︓public, private, protected EC2インスタンス ︓web, ap, db,

     bastion グローバルで⼀意な命名が必要な場合は「アカウントID」を付与 S3のバケット名 ︓bucket-111122223333 複数同じ役割のリソースが複数ある場合は「連番」を付与 EC2インスタンス ︓web-01, web-02 サービス毎の追加情報も検討必要

216. 216 命名規則のブログ紹介 https://dev.classmethod.jp/articles/aws-name-rule/

217. 217 その他 カテゴリ 内容 レベル リソース命名規則 ⼤まかな命名規則の決定 SHOULD 辞書登録 よく使う

     AWS 単語の辞書登録 INFO

218. 218 よく使う AWS 関連の単語は辞書登録しておくと便利︕ 辞書登録 登録内容 よみがな 単語 アカウント ID

     まいあかうんと 111122223333 リージョン名 とうきょうりーじょん ap-northeast-1 AWS サービス名 くらうどとれいる CloudTrail

219. 219 最後にもう⼀度、やるべきこと⼀覧

220. 220 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化（証跡の作成） MUST CloudTrail

     Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化（レコーダーの作成） MUST Config ルールの作成 SHOULD ＄ ＄ ＄ ＄ ＄

221. 221 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon

     S3 Storage Lens 有効化（ダッシュボードの作成） SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング ＄ ＄ ＄ ＄

222. 222 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA

     認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化（アナライザーの作成） SHOULD マネジメントコンソール IP アドレス制限 MAY

223. 223 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3

     保護の有効化 SLOUD 信頼されている／驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD ＄ ＄ ＄ ＄ ＄

224. 224 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD

     デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY ＄

225. 225 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD

     代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY ＄

226. 226 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD

     時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化（モニターとサブスクリプション設定） SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY ＄ ＄ ＄ ＄

227. 227 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

     Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY ＄ ＄

228. 228 その他 カテゴリ 内容 レベル リソース命名規則 ⼤まかな命名規則の決定 SHOULD 辞書登録 よく使う

     AWS 単語の辞書登録 INFO

229. 229 まとめ

230. 230 まとめ AWS で最初にやるべきことを 「ログ・モニタリング」「セキュリティ」「契約・コスト 」 の観点 ＋ リソース命名規則のおまけ付き でまとめました

     ぜひご活⽤ください︕

231. 231 ⾃⼰紹介 名前︓yhana 所属︓AWS事業本部 コンサルティング部 ソリューションアーキテクト

232. None