production.log

ピクスタ株式会社でエンジニアのマネージャーをやっている星直史のブログです。

AWSアカウント開設直後 & EC2インスタンス立ち上げ直後に最低限行うべきこと

概要

以前からクラウド破産クラウド破産と耳に入ってはいたが、個人で利用しているAWSアカウントはほぼノーガードでした。
また、ピクスタの来期AWS予算を策定していく中で、こんな金額がいきなり身に降りかかってきたら生命保険に入ることを考えてしまうだろうと思ったため、
個人のアカウントも最低限セキュリティ対策をすることにしました。

やったこと(IAM & Billing)

  • MFA導入
  • IAM設定
    • グループ、ユーザー、IAMユーザーに対してのMFA設定
  • コストエクスプローラーのの有効化
  • アカウント設定
    • 秘密の質問など
  • CloudTrailの有効化
  • Trusted Advisor チェックの実施

ここまで箇条書きにしてみたものの、クラスメソッドさんの記事を参考にしました。

個人で使用する分には、IAMグループでAdministratorAccessを設定するのは、やむなしかと思ったのですが、 組織で使用する場合には、適切にグループの権限設定をした方が吉だと思いました。

やったこと(EC2)

アカウント全般もさることながら、EC2インスタンスもAmazonLinuxのAMIをまんま使用していたので、
稼働中のインスタンスに対してもセキュリティ向上のために下記を参考に諸々実施しました。

大きくは、

  • ec2-userの削除
  • sshdのLISTENポート変更
  • git-secretsの使用

がセキュリティ上、有用ってところでしょうか。

特に自分の場合は、個人で開発を進めているとアクセスキーとシークレットキーを誤ってcommitしてしまう事案が多発しているので、
git-secretsは入れておくべきだと感じました。

まとめ

実際にやってみて感じたのは、項目は多少多いものの、設定自体は簡単でした。 今更ながらですが、デフォルト設定のままだと不正利用された時に何も言えなくなるので、最初に締めべきとこは締めた方が良いと思います。