AWSで環境を構築しようとした際、初期のままログインしようとする場合、ルートアカウントでのログインになると思います。
ルートアカウントは、最強の権限です。
なので、そのルートアカウントが乗っ取られてしまうと、勝手にEC2が作られて、ビットコインのマイニングや、踏み台サーとして悪用される可能性があります。
本記事のファスト記事は以下から
・スイッチロールするためのIAMポリシー
はじめにすること
まずは、ルートアカウントにアクセスし、ログインする際にMFA認証を利用するよう設定しましょう。
その後、個人のアカウントの払い出しを行い、さらにできるのであれば、払い出したアカウントからスイッチロールをして使用する運用とすることで、セキュアにAWSが利用できるようになります。
作るもの
・AWSアカウント
・IAMロール(スイッチされるロール)
・IAMユーザ
・IAMポリシー (スイッチする用)
・IAMグループ(ポリシーを直接ユーザに付与する場合は不要)
設定することでできるようになることのイメージ
AWSにログイン ⇒ 何もできない権限(ポリシー) ⇒ いろいろできる権限(ロール)にスイッチ
IAMユーザの作成
ユーザ作成
IAMロールの作成
ロールの作成
IAMポリシーの作成
1.スイッチする用
2.スイッチされる用
おまけ
IAMグループの作成
グループは作成しなくても問題ないですが、複数名で作業を行う想定であれば、同じグループにユーザを追加することで、管理が楽になるのでお勧めです。
管理が楽になるという点を補足すると、Aさん、Bさん、Cさんにそれぞれ、ポリシーを付与していると、追加のポリシーを付与したいとき、それぞれのユーザにポリシーをつけなければならなくなります。
ユーザ数が多ければ多いほど、手間が増えます。
それとは別に、グループにAさん、Bさん、Cさんを入れて、グループにポリシーをつけていた場合、ポリシーを追加したい場合は、グループに付けるだけで、Aさん、Bさん、Cさんすべてに同じポリシーがつくので、管理や手間が楽になります。
グループにポリシーをつけた例
グループ(ポリシー) – Aさん
個人にポリシーを付けた例
Aさん – ポリシー
Bさん – ポリシー
Cさん – ポリシー