Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSアカウントを作ったら最初にやるべきこと 〜2021年版〜

yhana
October 12, 2021

AWSアカウントを作ったら最初にやるべきこと 〜2021年版〜

DevelopersIO 2021 Decade 資料

yhana

October 12, 2021
Tweet

More Decks by yhana

Other Decks in Technology

Transcript

  1. 10 やるべきことの料⾦ $ 有料 $ 基本無料 + オプション機能が有料 設定は無料 +

    連携サービス (S3等) が有料 記載なし 無料、もしくは、極めて安価
  2. 12 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化(証跡の作成) MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化(レコーダーの作成) MUST Config ルールの作成 SHOULD $ $ $ $ $
  3. 13 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon

    S3 Storage Lens 有効化(ダッシュボードの作成) SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング $ $ $ $
  4. 14 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA

    認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD マネジメントコンソール IP アドレス制限 MAY
  5. 15 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3

    保護の有効化 SLOUD 信頼されている/驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD $ $ $ $ $
  6. 16 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD

    デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY $
  7. 17 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD

    代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY $
  8. 18 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD

    時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY $ $ $ $
  9. 19 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

    Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY $ $
  10. 23 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化(証跡の作成) MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化(レコーダーの作成) MUST Config ルールの作成 SHOULD $ $ $
  11. 31 CloudTrail の S3/CloudWatch Logs転送 CloudTrail のログ転送先 転送先 ⽬的 備考

    S3 ⻑期的な保管 - CloudWatch Logs 回数条件でアラートを作成したい場合など オプション
  12. 32 CloudTrail の S3/CloudWatch Logs転送 S3保管の考慮事項 保存期間 管理 → ライフサイクルルール

    から設定 暗号化 プロパティ → デフォルトの暗号化 から設定 アクセス制御 アクセス許可 から設定 アクセスログ プロパティ → サーバーアクセスのログ記憶 から設定 オブジェクトロック バケット作成時に有効化(あとから有効はサポート)
  13. 35 CloudTrail の参考情報 種別 タイトル(リンク) 技術情報 [アップデート] CloudTrail Insights で異常アクティビティの統計情報が提供されるよう

    になりました 技術情報 Amazon S3の暗号化について調べてみた。 技術情報 S3オブジェクトのロック(なにをどうやっても改竄削除が不可)がリリースされま した︕ #reinvent 料⾦ 料⾦ - AWS CloudTrail | AWS
  14. 36 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化(証跡の作成) MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化(レコーダーの作成) MUST Config ルールの作成 SHOULD
  15. 39 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化(証跡の作成) MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化(レコーダーの作成) MUST Config ルールの作成 SHOULD $ $
  16. 46 Config ルール マネージドルール名 概要 restricted-ssh セキュリティグループの受信SSHトラフィック のIPアドレスが制限されているかを確認 vpc-flow-logs-enabled VPCに対してVPCフローログが有効になってい

    るかを確認 rds-cluster-deletion-protection-enabled RDSクラスターに対して削除保護が有効になっ ているかを確認 マネージドルール(⼀部抜粋)
  17. 49 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon

    S3 Storage Lens 有効化(ダッシュボードの作成) SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング $
  18. 55 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon

    S3 Storage Lens 有効化(ダッシュボードの作成) SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング $
  19. 61 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon

    S3 Storage Lens 有効化(ダッシュボードの作成) SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング $
  20. 65 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon

    S3 Storage Lens 有効化(ダッシュボードの作成) SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング $
  21. 71 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA

    認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD マネジメントコンソール IP アドレス制限 MAY
  22. 通常作業時は root ではなく、IAM ユーザ/IAM グループを利⽤ IAM ユーザは AWS アカウント内で定義するユーザ AWS

    アカウント 73 IAM ユーザ IAM グループ IAM ユーザ IAM ユーザ IAM グループ IAM ユーザ IAM ユーザ
  23. 75 IAM ポリシー IAM ポリシーには、AWS が提供している「AWS 管理ポリシー」と ユーザが作成する「ユーザ管理ポリシー」 がある AWS

    管理ポリシー名 概要 AdministratorAccess AWSサービスとリソースへのフルアクセス権限 ViewOnlyAccess すべてのAWSサービスのリソース、および、基本的なメタデータ の閲覧権限 AmazonEC2FullAccess AWSマネジメントコンソールによるEC2へのフルアクセス権限
  24. 79 IAM ユーザの設定 パスワードポリシーの作成 IAM グループ、IAM ポリシーの作成 IAM ポリシーを IAM

    グループにアタッチ IAM ユーザを作成して IAM グループに所属 IAM ユーザの MFA 認証の設定
  25. 86 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA

    認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD マネジメントコンソール IP アドレス制限 MAY
  26. 88 IAM Access Analyzer の運⽤ 111122223333 アカウントID︓111122223333 の IAM ユーザ「test-user」に対して、

    AdministratorAccess 権限を与えている 意図して与えた権限なのかどうか確認 意図した結果はアーカイブ、意図していない場合は対処 スキャン結果
  27. 90 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA

    認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD マネジメントコンソール IP アドレス制限 MAY
  28. 94 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3

    保護の有効化 SLOUD 信頼されている/驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD $ $ $
  29. 99 GuardDuty の主なオプション機能と設定 オプション機能 信頼されている IP リスト/驚異 IP リストの登録 S3

    保護の有効化 設定 CloudWatch Events へのデータ送信間隔15分に変更 + 通知設定 S3 バケットへのエクスポート設定
  30. 105 CloudWatch Events へのデータ送信 CloudWatch Events へのデータ送信間隔を 6時間 → 15分

    に変更 検知結果の通知を早くすることができる 後述する Detective サービスで早期調査ができる 合わせて、GuardDuty 検知結果の通知設定
  31. 111 GuardDuty の参考情報 種別 タイトル(リンク) 技術資料 [2021年版]Amazon GuardDutyによるAWSセキュリティ運⽤を考える 技術資料 ⼀発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った

    技術資料 [アップデート] Amazon GuardDuty で S3 への不審なアクティビティを脅威検出できる ようになりました︕ 料⾦ Amazon GuardDuty の料⾦ 料⾦ 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた
  32. 112 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3

    保護の有効化 SLOUD 信頼されている/驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD $
  33. 122 GuardDuty の参考情報 種別 タイトル(リンク) 技術資料 [⼊⾨]社内勉強会で AWS Security Hubの話をしました

    技術資料 うわっ…私のセキュリティスコア低すぎ…︖Security HubのCISベンチマークの俺流 チューニングで100%準拠を⽬指す 料⾦ AWS Security Hub の料⾦
  34. 123 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3

    保護の有効化 SLOUD 信頼されている/驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD $
  35. 130 Detective の参考情報 種別 タイトル(リンク) 技術資料 [アップデート] AWS 環境の調査がすこぶる捗る︕Amazon Detective

    が利⽤可能になっ ていた︕(30⽇間の無料トライアル付き) 技術資料 [神ツール]セキュリティインシデントの調査が捗るAmazon DetectiveがGAしたのでメ リットとオススメの使い⽅を紹介します 料⾦ Amazon Detective の料⾦
  36. 132 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD

    デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY $
  37. 135 VPC フローログ フローログの内容 アカウント 123456789010 のネットワークインターフェイス eni-1235b8ca123456789 への SSH

    トラ フィック (宛先ポート 22、TCP プロトコル) が許可 2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK アカウント 123456789010 のネットワークインターフェイス eni-1235b8ca123456789 への RDP トラ フィック (宛先ポート 3389、TCP プロトコル) が拒否 2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK フローログの各フィールド情報 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html#flow-log-records
  38. 138 デフォルト VPC 各リージョンにデフォルトで VPC が1個ずつ存在 VPC を作成する場合や利⽤しないリージョンではデフォルト VPCを削除 デフォルト

    VPC のサブネット設定はグローバル IPv4 の⾃動割り当てが有効 削除により意図しないインターネット公開の危険性を少しでも低減可能
  39. 140 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD

    デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY
  40. 143 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD

    デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY
  41. 149 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD

    代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY
  42. 156 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD

    代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY
  43. 159 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD

    代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY $
  44. 160 サポートに加⼊ 要件に合うサポートに加⼊ 主な違い 技術サポート体制 サポート問い合わせ⽅法 ケースの応答時間 Trusted Advisor のチェック項⽬数

    料⾦ 詳しいサポートプランの⽐較と料⾦は AWS 公式ドキュメント参照 https://aws.amazon.com/jp/premiumsupport/plans/
  45. 162 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD

    時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY $ $
  46. 172 Cost Explorer の参考情報 種別 タイトル(リンク) 技術資料 [アップデート] AWS Cost

    Explorer が時間単位およびリソースレベルの粒度で確認でき るようになりました 技術資料 [アップデート]コスト最適化の決定版︕AWS Cost Explorerの推奨事項にAWS Compute Optimizerが統合されました 料⾦ AWS Cost Explorer の料⾦
  47. 173 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD

    時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY
  48. 178 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD

    時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY
  49. 185 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD

    時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY $ $
  50. 191 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

    Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY $
  51. 192 Cost and Usage Reports Cost and Usage Reports (AWS

    のコストと使⽤状況レポート) とは コストに関する詳細情報を S3 に保管してくれるサービス BI ツール等を利⽤することで柔軟性の⾼い分析ができる 無料(ただし S3 の料⾦は必要)
  52. 193 Cost and Usage Reports 例)レポート情報の抜粋版(レポートは CSV形式、GZIP圧縮) lineItem/UsageStartDate lineItem/UsageEndDate lineItem/ProductCode

    lineItem/Operation product/instanceType product/operatingSystem product/region pricing/publicOnDemandCost pricing/term pricing/unit 2021-09-24T14:00:00Z 2021-09-24T15:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T15:00:00Z 2021-09-24T16:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T16:00:00Z 2021-09-24T17:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T17:00:00Z 2021-09-24T18:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T18:00:00Z 2021-09-24T19:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T19:00:00Z 2021-09-24T20:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T20:00:00Z 2021-09-24T21:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T21:00:00Z 2021-09-24T22:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T22:00:00Z 2021-09-24T23:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs 2021-09-24T23:00:00Z 2021-09-25T00:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs
  53. 194 Cost and Usage Reports の分析 レポートは Athena や BI

    ツールを利⽤して分析 Athena による分析はAWS公式ドキュメント参照 https://docs.aws.amazon.com/ja_jp/cur/latest/userguide/cur-query-athena.html
  54. 196 コスト配分タグ 例)aws:createdBy タグ情報を追加した Cost and Usage Reports lineItem/UsageStartDate lineItem/UsageEndDate

    lineItem/Prod uctCode lineItem/Opera tion product/ins tanceType product/opera tingSystem product/region pricing/publicOn DemandCost pricing/term pricing/unit resourceTags/aws:createdBy 2021-09-24T14:00:00Z 2021-09-24T15:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T15:00:00Z 2021-09-24T16:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T16:00:00Z 2021-09-24T17:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T17:00:00Z 2021-09-24T18:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T18:00:00Z 2021-09-24T19:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T19:00:00Z 2021-09-24T20:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T20:00:00Z 2021-09-24T21:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T21:00:00Z 2021-09-24T22:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T22:00:00Z 2021-09-24T23:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user 2021-09-24T23:00:00Z 2021-09-25T00:00:00Z AmazonEC2 RunInstances t2.nano Linux ap-northeast-1 0.0076 OnDemand Hrs IAMUser:AIDAWLQZGIQFTRCEXXXXX:test-user
  55. 200 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

    Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY $
  56. 203 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

    Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY
  57. 210 「要素」が必要かどうかを判断 ⼤まかな命名規則の決定 要素 例 必要有無の判断 システム名 devio, techblog 同じアカウントに複数システムがある場合は必須レベル

    アカウント毎にシステムを分けている場合でも、 アカウント選択ミスを防ぐ⽬的で付与も有効 環境 prod, stg, dev 同じアカウントに複数システムがある場合は必須レベル 環境毎にアカウントを分けている場合でも、 アカウント選択ミスを防ぐ⽬的で付与も有効 AWSを開発⽤途でしか使わない等、今後の利⽤⽅針が決まっている 場合は不要でもよい
  58. 211 「要素」が必要かどうかを判断 ⼤まかな命名規則の決定 要素 例 必要有無の判断 サービス名 vpc, alb 必須レベル

    リージョン tokyo, tyo, tk 複数リージョンを使うシステムの場合は付与を検討 リージョン違いで作業していることに気づきやすくなる 付与するとリソース名が⻑くなりがち ユーザ名/ チーム名/ 部署名 hana 1group 1bumon 1つのアカウントを複数ユーザ/チーム/部署で共有して利⽤する 場合に付与を検討
  59. 215 同じサービスでもリソース毎に役割が異なる場合は「役割情報」を付与 サブネット ︓public, private, protected EC2インスタンス ︓web, ap, db,

    bastion グローバルで⼀意な命名が必要な場合は「アカウントID」を付与 S3のバケット名 ︓bucket-111122223333 複数同じ役割のリソースが複数ある場合は「連番」を付与 EC2インスタンス ︓web-01, web-02 サービス毎の追加情報も検討必要
  60. 218 よく使う AWS 関連の単語は辞書登録しておくと便利︕ 辞書登録 登録内容 よみがな 単語 アカウント ID

    まいあかうんと 111122223333 リージョン名 とうきょうりーじょん ap-northeast-1 AWS サービス名 くらうどとれいる CloudTrail
  61. 220 ログ・モニタリング サービス名 内容 レベル AWS CloudTrail 有効化(証跡の作成) MUST CloudTrail

    Insights の有効化 SHOULD Athena のテーブル作成 MAY Amazon EventBridge マネジメントコンソールのサインイン通知 SHOULD AWS Config 有効化(レコーダーの作成) MUST Config ルールの作成 SHOULD $ $ $ $ $
  62. 221 サービス名 内容 レベル Amazon DevOps Guru 有効化 SHOULD Amazon

    S3 Storage Lens 有効化(ダッシュボードの作成) SHOULD AWS Personal Health Dashboard 通知設定 SHOULD AWS Trusted Advisor 通知設定 SHOULD ログ・モニタリング $ $ $ $
  63. 222 セキュリティ サービス名 実施内容 レベル AWS IAM (root ユーザ) MFA

    認証の設定 MUST アクセスキーの削除 MUST AWS IAM IAM パスワードポリシーの設定 MUST IAM ユーザの作成 MUST MFA 認証の設定 MUST アカウントエイリアスの作成 MAY AWS IAM Access Analyzer 有効化(アナライザーの作成) SHOULD マネジメントコンソール IP アドレス制限 MAY
  64. 223 セキュリティ サービス名 実施内容 レベル Amazon GuardDuty 有効化 SLOUD S3

    保護の有効化 SLOUD 信頼されている/驚異IPリストの作成 MAY 通知設定 MAY S3 エクスポート設定 MAY AWS Security Hub 有効化 SLOUD 通知設定 MAY Amazon Detective 有効化 SLOUD $ $ $ $ $
  65. 224 セキュリティ サービス名 実施内容 レベル Amazon VPC VPC フローログの有効化 SLOUD

    デフォルト VPC の削除 MAY Amazon EC2 (EBS) EBS のデフォルト暗号化設定 MAY Amazon S3 アカウントのブロックパブリックアクセス設定 MAY $
  66. 225 契約・コスト サービス名 内容 レベル マイアカウント お⽀払い通貨の設定 SHOULD 秘密の質問の設定 SHOULD

    代替の連絡先の設定 MAY デフォルト無効リージョンの確認 INFO AWS Artifact 準拠法を⽇本法に変更 MAY AWS サポート 必要なサポートに加⼊ MAY $
  67. 226 契約・コスト サービス名 内容 レベル AWS Cost Explorer 有効化 SHOULD

    時間単位とリソースレベルのデータを有効化 MAY サイズの適正化に関する推奨事項を有効化 SHOULD AWS Compute Optimizer 有効化 SHOULD AWS Cost Anomaly Detection 有効化(モニターとサブスクリプション設定) SHOULD Budgets 予算アラートの設定 SHOULD 予算レポートの設定 MAY $ $ $ $
  68. 227 契約・コスト サービス名 内容 レベル 請求コンソール (Billing) Cost and Usage

    Reports の有効化 MAY コスト配分タグの設定 MAY PDF 請求書の設定 MAY 無料利⽤枠の使⽤アラートの設定 MAY 請求アラートの設定 INFO マイアカウント IAM ユーザによる請求情報へのアクセス設定 MAY $ $