はじめに
AWSアカウントの作成からMFA(多要素認証)の設定まで、初心者でも簡単にフォローできる手順をご紹介します。正しいセットアップを行うことで、AWS環境を安全に保ちながら、EC2、S3などのサービスをフル活用することができます。
MFAの設定とアカウントの利用開始
セキュリティを強化するため、MFAの設定は必須です。MFAを設定することで、パスワードだけでなく、物理的なデバイスからのコードが必要になり、アカウントの安全性が向上します。
- MFAの追加:
- IAMダッシュボードから「セキュリティ認証情報」を選択し、「MFAデバイスの追加」をクリック。
- MFAデバイスタイプを選択し(例:仮想MFA)、デバイスのQRコードをスキャンします。
- アプリケーション(例:Google Authenticator)で生成されたコードを入力して、MFAを有効化します。
- MFAポリシーの適用
- 以下のポリシーをアタッチさせます。
MFAポリシーについての説明
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowViewAccountInfo",
"Effect": "Allow",
"Action": [
"iam:GetAccountPasswordPolicy",
"iam:ListVirtualMFADevices"
],
"Resource": "*"
},
{
"Sid": "AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation",
"Effect": "Allow",
"Action": [
"iam:ChangePassword",
"iam:CreateLoginProfile",
"iam:DeleteLoginProfile",
"iam:GetLoginProfile",
"iam:ListAccessKeys",
"iam:UpdateLoginProfile",
"iam:ListSigningCertificates",
"iam:ListSSHPublicKeys",
"iam:GetSSHPublicKey",
"iam:GetUser"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "AllowManageOwnVirtualMFADevice",
"Effect": "Allow",
"Action": [
"iam:CreateVirtualMFADevice",
"iam:DeleteVirtualMFADevice"
],
"Resource": "arn:aws:iam::*:mfa/${aws:username}"
},
{
"Sid": "AllowManageOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:ChangePassword",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice",
"sts:GetSessionToken"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false",
"aws:ViaAWSService": "false"
}
}
}
]
}
上記ポリシーは、IAMユーザーが自分のアカウント情報を表示・管理し、MFAデバイスを管理できるようにする一方で、MFAが有効でない場合には指定されたアクションを除いてすべてのアクションを拒否するように設計されています。このポリシーはセキュリティを強化し、MFAが有効でないときにアカウントに対する潜在的な不正アクセスを防ぐためのものです。
- AllowViewAccountInfo & AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation: ユーザーが自分のアカウント情報やパスワードポリシーを取得し、ログインプロファイルを管理できるようにします。
- AllowManageOwnVirtualMFADevice & AllowManageOwnUserMFA: ユーザーが自分のMFAデバイスを作成、削除、同期させることを許可します。
- DenyAllExceptListedIfNoMFA: MFAが有効でない場合に、リストされている特定のアクションを除いてすべてのアクションを拒否します。これにより、MFAが有効になっていない限り、ユーザーが操作を行うことが防止されます。
その後ログアウトし、再度ログインします。この時MFAコードの入力が求められます。
MFA認証をパスすると、AWSの各サービスにアクセスできるようになります。(もちろん必要な権限のポリシーやロールはAttachされている必要があります。)
アクセスキーの設定とAWS CLIの使用
AWS CLIを使用するには、適切なアクセスキーの設定が必要です。IAMでアクセスキーを作成し、CLIでの認証に使用します。
アクセスキーの作成:
- IAMダッシュボードで「ユーザー」を選択し、作成したIAMユーザーに対して「セキュリティ認証情報」タブを開き、「アクセスキーの作成」を選択します。
- 新しいアクセスキーが生成されるので、表示された情報を安全な場所に保存します。
AWS CLIの設定:
- AWS CLIがまだインストールされていない場合は、AWS公式サイトからインストールを行います。
- ターミナルまたはコマンドプロンプトを開き、
aws configureコマンドを実行します。 - プロンプトに従って、先ほど生成したアクセスキーIDとシークレットアクセスキーを入力します。リージョン名(例:ap-northeast-1)と出力形式(例:json)も設定します。
GitHub上のaws-mfaツールは、AWSの多要素認証(MFA)を容易に管理するためのコマンドラインツールです。このツールを使用することで、AWS CLIを使用する際に一時的なセキュリティ認証情報を簡単に取得し、MFA保護されたリソースへのアクセスを安全に行うことができます。
aws-mfaツールの設定と使用方法:
- ツールのインストール: aws-mfaはPythonで書かれているため、Pythonがシステムにインストールされている必要があります。GitHubのリポジトリページに従って、aws-mfaをインストールします。
- AWS Credentialsの設定:
~/.aws/credentialsファイルに長期的なAWSアクセスキーを設定します。これは、aws-mfaが一時的な認証情報を生成する際の基礎となります。 - MFAデバイスのARN設定: MFAデバイスのAmazon Resource Name (ARN)を特定し、この情報をaws-mfaの設定に含めます。
- 一時的なセキュリティ認証情報の取得: コマンドラインからaws-mfaを実行し、MFAトークンコードを入力することで、一時的な認証情報を取得します。これにより、MFA保護されたAWSリソースへのアクセスが可能になります。
MFAを利用したAWS CLIのセキュアな使用
AWS CLIを使用する際にMFA認証を要求する設定は、セキュリティをさらに強化します。
- 一時セキュリティ認証情報の取得:
- MFAデバイスが設定されているIAMユーザーでAWS CLIコマンドを実行するには、一時セキュリティ認証情報が必要です。
- 以下のコマンドを使用して、一時セキュリティ認証情報を取得します。
aws sts get-session-token --serial-number arn:aws:iam::<your-account-id>:mfa/<your-mfa-device-name> --token-code <mfa-code> --duration-seconds 3600 - このコマンドは、MFAデバイスから取得したトークンコードとともに、セッショントークン、アクセスキーID、シークレットアクセスキーを返します。
- 一時認証情報の使用:
- 取得した一時認証情報を利用して、AWS CLIコマンドをセキュアに実行します。
- 一時認証情報は、指定された期間(この例では3600秒)のみ有効です。
結論
AWSアカウントの作成からMFAの設定、さらにはアクセスキーの生成とAWS CLIの使用まで、このガイドを通じて、AWS環境を安全に利用するための基礎を学びました。セキュリティはクラウド環境での作業において非常に重要です。適切な設定を行うことで、リソースの安全性を保ちつつ、AWSのパワフルなサービスを最大限に活用することができます。始めるのが初めてであれば、この記事をステップバイステップでフォローし、セキュアなクラウド環境の構築に挑戦してください。