AWS アカウント 管理者向けのベストプラクティス
新規 AWS アカウント を作成したアカウント管理者の場合は、ユーザーがサインイン時 AWS セキュリティのベストプラクティスに従うことができるように、以下の手順を推奨しています。
-
ルートユーザーとしてサインインして多要素認証 (MFA) を有効にし、IAM アイデンティティセンターでまだ作成していない場合は、AWS 管理者ユーザーを作成します。それから、ルートの認証情報を保護し、日常的な作業には使わないようにしましょう。
-
AWS アカウント 管理者としてサインインし、次のアイデンティティを設定します。
-
ワークロード用の一時認証情報を設定する。
-
アクセスキーは、長期的な認証情報を必要とするユースケースのためにのみ作成してください。
-
これらのアイデンティティへのアクセスを許可する権限を追加します。AWS マネージドポリシーから始めて、最小特権パーミッションに移行することができる。
-
AWS IAM アイデンティティセンター (AWS シングルサインオンの後継サービス) のユーザーに権限セットを追加します。
-
ワークロードに使用する IAM ロールにアイデンティティベースのポリシーを追加します。
-
長期的な認証情報を必要とするユースケースのために IAM ユーザー向けのアイデンティティベースのポリシーを追加します。
-
IAM ユーザーの詳細については、IAM のセキュリティのベストプラクティスを参照してください。
-
-
AWS マネジメントコンソール にサインインします。 に関する情報を保存して共有する。この情報は、作成したアイデンティティのタイプによって異なります。
-
アカウントやセキュリティに関する重要な通知を受け取れるように、ルートユーザーのメールアドレスとプライマリアカウントの連絡先電話番号は常に最新の状態にしておいてください。
-
アイデンティティとアクセス管理のその他のベストプラクティスについては、「IAM のセキュリティのベストプラクティス」をご覧ください。
