【AWS】Trusted Advisor使おう、無料枠でも使うべき

AWSのサービスを色々試してみると気になる点、それはセキュリティですね。

無料枠でもAWSのセキュリティに穴がないか、Trusted Advisorというサービスでチェックできるのでお勧めです。

Trusted Advisorとは

AWSのサービスの一つで、AWSアカウント環境の状態をチェックしてベストプラクティスをレポート形式で示してくれます。

クラウド最適化 – AWS Trusted Advisor

AWS Trusted Advisor は、コストの最適化、パフォーマンスの改善、セキュリティと回復力の改善、クラウドでの大規模な運用に役立ちます。

aws.amazon.com

チェック視点は５つ

以下５つの視点でAWSアカウント環境をチェックしてくれます。

• コスト最適化
• パフォーマンス
• セキュリティ
• フォールトトレランス（耐障害性）
• サービス制限

無料枠では、セキュリティとサービス制限の一部のみ

AWSのプランによって、チェックできる内容が異なります。
私が使っている無料枠（ベーシックプラン）だと一部のチェックしかできません。

ただし、特に重要なセキュリティの6項目はチェックできます。

• ルートアカウントのMFA
• セキュリティグループ – 開かれたポート
• Amazon EBS パブリックスナップショット
• Amazon RDS パブリックスナップショット
• Amazon S3バケット許可
• IAMの使用

実際にTrusted Advisorでチェックしてみた

使ったことがなかったので使ってみました。

赤（即時対応必要）がチェックにかかった

ルートアカウントのMFA(多要素認証)が有効になっていないのでヤバいと警告です。

お試しだから気にせずいましたが、対策しておくべきですね。

AWSのルートアカウントのMFAを有効化

セキュリティチェックにかかったので、MFAを有効にしておきました。

１．セキュリティ認証情報の設定項目で、[MFAの有効化]を行います。

２．MFAは3つの種類から選べるのですが、ハードウェアが不要な「仮想MFAデバイス」を選択します。

※ハードウェアデバイスの方がセキュリティは上ですが、手軽さからいうとソフトウェアですね。

３．ソフトウェアでのMFAは別のシステムを使います。

私は、スマートフォンにインストールしているGoogle Authenticatorを使いました。仮想通貨取引とかで入れたやつです。一度入れれば汎用的に使えますね。

Google 認証システム - Google Play のアプリ

2 段階認証を有効にしてアカウントを不正使用から保護できます。

play.google.com

※この手順はこちらのWebサイトが分かりやすいです↓

【はじめてのAWS】ルートユーザーの安全を確保しよう - サーバーワークスエンジニアブログ

今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。 動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、動画も参照頂ければと思います。  内容が良かった、為になったと感...

blog.serverworks.co.jp

４．MFAが有効になったことを確認しました。

設定が完了したら、AWSコンソールから一旦サインアウトして、サインイン。
するとMFAが有効になっていることを確認できました。

Trusted Advisorのチェック結果が改善

ルートアカウントのMFAを有効にしてから、再度、Trusted Advisorでチェックをかけると、赤警告が消えてセキュリティが改善していました！

まとめ

１．AWSのTrusted Advisorは無料枠でも使えて、重要なセキュリティチェックができます。是非活用しましょう。

２．AWSで初めてMFA(多要素認証)を設定しましたが、大きな迷いなくできます。面倒くさがらずにやってみましょう。