aws-recipe-user はじめに / 本稿のゴール
強固なセキュリティに守られた機械学習環境を、クラウド上に構築するまでをハンズオンで行う本連載。前回は、第一回として下記を行いました。
Amazon S3バケットを作成
Amazon SageMakerを立ち上げ
AWS Trusted Advisor を開く
今回は二回目として、Trusted Advisorで指摘された内容を確認、下記を行います。
セキュリティグループ設定
ルートアカウントのMFA設定
IAMに関して – 最小権限の原則の把握
手順
前回、コンソール画面の表示までを行いました。チェックアイコンは危機レベル。各項目をクリックするとアドバイスの詳細を表示できます。ひとつづつ見ていきます。
セキュリティグループ設定
1.必要とするIPアドレスだけにアクセス許可をするように、とあります。今回はマイIPだけに許可を与え、現環境からのアクセスだけを通す形に設定します。チェックが入っているセキュリティーグループIDをクリック。
2.インバウンドのタブを選択、編集をクリック。
3.不要なルールを削除後、ソースをマイIPに設定、ルールを保存。
4.同様の処理を他のセキュリティーグループで行って、作業完了。
ルートアカウントのMFA設定
Multi-Factor Authentication = 多段階認証。ルートアカウントが乗っ取られてしまった場合、AWSのすべての権限が第三者の手に渡ってしまいます。これはものすごくリスキーだから、せめてルートアカウントのMFAを有効にしてね、ということです。
1.コンソールからIAMに飛び、ルートアカウントのMFAを有効化、を選択してMFAの管理をクリック。
2.多要素認証(MFA)を選択、MFAの有効化をクリック。
3.今回は手早く導入できる仮想MFAデバイスを選択。
4.仮想MFAのデバイスはアプリやプログラムとして各種用意されています。何を使えば良いかわからない方は、下記リストから選択し、手元の端末にインストールします。私はiphoneアプリを入れました。めんどくさそうと思いきや、意外とサクッとできます。
5.QRコードの表示をクリックして、端末で読み取り。
6.仮想MFAデバイスに表示された数字を入力、MFAの割り当てをクリック。
7.この画面になれば成功。
IAMに関して – 最小権限の原則の把握
1.最後の項目を見てみます。IAMユーザーを作りましょう、とあります。
2.コンソールからIAMのダッシュボードを表示。3項目に指摘。
3.ここで目的を明確にするために、最小権限の原則に触れます。下記図の右上の項目を充足するための原則です。
IAMの要素を入れてざっくり図示します。
全権限をもってるルートアカウントでサービスを使ってしまったら、原則に則ったアーキテクチャ設計が出来ません。だからIAMユーザーを作ってください、と推奨されています。
まとめ
次回はIAMまわりの設定を見直します。お楽しみに!
参考リンク
こちらの記事を参考にさせていただきました。
初心者がAWSでミスって不正利用されて$6,000請求、泣きそうになったお話。
AWSアカウントを取得したら速攻でやっておくべき初期設定まとめ
SageMakerの導入ならナレコムにおまかせください。
日本のAPNコンサルティングパートナーとしては国内初である、Machine Learning コンピテンシー認定のナレコムが導入から活用方法までサポートします。お気軽にご相談ください。
