Amazon Sagemakerでセキュリティに強い機械学習環境を構築する ②

Pocket

はじめに / 本稿のゴール

強固なセキュリティに守られた機械学習環境を、クラウド上に構築するまでをハンズオンで行う本連載。前回は、第一回として下記を行いました。
Amazon S3バケットを作成
Amazon SageMakerを立ち上げ
AWS Trusted Advisor を開く
今回は二回目として、Trusted Advisorで指摘された内容を確認、下記を行います。
セキュリティグループ設定
ルートアカウントのMFA設定
IAMに関して – 最小権限の原則の把握

手順

前回、コンソール画面の表示までを行いました。チェックアイコンは危機レベル。各項目をクリックするとアドバイスの詳細を表示できます。ひとつづつ見ていきます。

セキュリティグループ設定

1.必要とするIPアドレスだけにアクセス許可をするように、とあります。今回はマイIPだけに許可を与え、現環境からのアクセスだけを通す形に設定します。チェックが入っているセキュリティーグループIDをクリック。

2.インバウンドのタブを選択、編集をクリック。

3.不要なルールを削除後、ソースをマイIPに設定、ルールを保存。

4.同様の処理を他のセキュリティーグループで行って、作業完了。

ルートアカウントのMFA設定

Multi-Factor Authentication = 多段階認証。ルートアカウントが乗っ取られてしまった場合、AWSのすべての権限が第三者の手に渡ってしまいます。これはものすごくリスキーだから、せめてルートアカウントのMFAを有効にしてね、ということです。

1.コンソールからIAMに飛び、ルートアカウントのMFAを有効化、を選択してMFAの管理をクリック。

2.多要素認証(MFA)を選択、MFAの有効化をクリック。

3.今回は手早く導入できる仮想MFAデバイスを選択。

4.仮想MFAのデバイスはアプリやプログラムとして各種用意されています。何を使えば良いかわからない方は、下記リストから選択し、手元の端末にインストールします。私はiphoneアプリを入れました。めんどくさそうと思いきや、意外とサクッとできます。

5.QRコードの表示をクリックして、端末で読み取り。

6.仮想MFAデバイスに表示された数字を入力、MFAの割り当てをクリック。

7.この画面になれば成功。

IAMに関して – 最小権限の原則の把握

1.最後の項目を見てみます。IAMユーザーを作りましょう、とあります。

2.コンソールからIAMのダッシュボードを表示。3項目に指摘。

3.ここで目的を明確にするために、最小権限の原則に触れます。下記図の右上の項目を充足するための原則です。

IAMの要素を入れてざっくり図示します。

全権限をもってるルートアカウントでサービスを使ってしまったら、原則に則ったアーキテクチャ設計が出来ません。だからIAMユーザーを作ってください、と推奨されています。

まとめ

次回はIAMまわりの設定を見直します。お楽しみに!

参考リンク

こちらの記事を参考にさせていただきました。
初心者がAWSでミスって不正利用されて$6,000請求、泣きそうになったお話。
AWSアカウントを取得したら速攻でやっておくべき初期設定まとめ