2021年4月3日 / 最終更新日 : 2022年12月9日 MikoshibaHiroyuki セキュリティ

AWSセキュリティ前準備:IAMユーザを登録する

セキュリティ機能のためのIAMユーザを登録する

AWS WAF コンソールを使用して、AWS WAFの操作、設定を行うために、IAMユーザ を登録します。

セキュリティのための操作を行っていくので、まずルートユーザでログインするなんてことはやめて、一律セキュリティのためのユーザを作成します。

セキュリティのために必要なAWS管理ポリシーを、新しくセキュリティのために作ったIAMロールに登録して、これを新しく作成したセキュリティのためのIAMユーザに登録するのが良いかと思います。

ちなみに、AWS WAFのために必要となる管理ポリシーは以下です。

  1. AWSWAFReadOnlyAccess  AWS WAF リソースへの読み取り専用アクセスを許可します
  2. AWSWAFFullAccess  AWS WAF リソースへのフルアクセスを付与します
  3. AWSWAFConsoleReadOnlyAccess
    コンソールへの読み取り専用アクセスを許可します。
    このアクセスには、AWS WAF のリソースと、AWS WAF などの統合サービスが含まれます。
    (Amazon CloudFront, Amazon API Gateway, Application Load Balancer, AWS AppSync)
  4. AWSWAFConsoleFullAccess
    コンソールへのフルアクセスを許可します。
    これには、AWS WAF のリソースと、AWS WAF などの統合サービスが含まれます。
    (Amazon CloudFront, Amazon API Gateway, Application Load Balancer, AWS AppSync)
セキュリティ用の新しいIAMユーザを登録する
セキュリティ用の新しいIAMユーザを登録する
  • ユーザ「aws-security」を登録
  • プログラムからのアクセスとコンソールアクセスを許可した
  • この後の手順で必ず 「.csv」ファイル(証明書)をダウンロードして(ここでしか取得できないので忘れずに!!)
    アクセスキーとシークレットアクセスキーを保存しておきます。
    プログラムやCLI、SDKからアクセスする場合には必要になります。
  • パスワードは自分で指定した(パスワードリセットはしない)
  • セキュリティ評価で、「パスワードを設定したIAMユーザはMFAを登録するべき」と指摘を受けるので、MFAも登録しました。
「AWSWAFFullAccess」権限を追加します
「AWSWAFFullAccess」権限を追加します
  • セキュリティ基準の評価で、「IAM ポリシーがグループまたはロールだけにアタッチされていることを確認する」の項目でチェックされてしまいますが、上記は、「既存のポリシーを直接アタッチ」でアタッチしたときのイメージです。

AWSセキュリティ TIPSはこちら!

「セキュリティ機能全体像」はこちら!

カテゴリー
セキュリティ仮想システム
タグ
仮想システム

前の記事

動いているEC2をベースとして、同一内容のEC2を複写する
2021年3月13日
セキュリティ

次の記事

AWSセキュリティ前準備:AWS Organizations に参加する
2021年4月4日