お値段も手頃なAWS Lightsailへ移行してきましたが、セキュリティ対策をきちんとやっておかないと痛い目にあいます。
Lightsailの移行については、以下を参照ください。
LightsailのAWSアカウント作成については、こちら。
Amazon LightsailでWordPress構築 - AWSアカウント作成編
Lightsailの設定については、こちら。
Amazon LightsailでWordPress構築 – Lightsail設定編
LightsailのWordPressの設定については、こちら。
Amazon LightsailでWordPress構築 - WordPress設定編
早速、セキュリティ周りの変更を行っていこうと思います。
rootユーザのMFA(多要素認証)を有効にする
rootユーザは、何でもできてしまう最高権限のユーザなので、IDとパスワードだけでのログインを許容していると危険です。多要素認証を必ず設定しておきましょう。
コンソールにログイン後、右上のアカウント名をクリックしセキュリティ認証情報をクリックします。
セキュリティ認証情報メニューから多要素認証(MFA)を表示し、MFAの有効化をクリックします。
基本的には、仮想MFAデバイスを選択して、次に進みます。
QRコードの表示をクリックして、QRコード、シークレットキーを表示させます。(これは、漏洩しないようにご注意ください。)また、スマホが壊れた場合や機種変更した時の為に、シークレットキーは、どこか安全なところに保存しておきましょう。
多要素認証用のスマホアプリで、上記のQRコードを読み込みます。
私は、マイクロソフトのAuthenticatorを利用しています。
デバイスに表示された連続したコードを入力し、MFAの割り当てをクリックすると設定が完了となります。
これで、ID+パスワード+MFAの認証となります。
詳細は、以下をご参考ください。
ユーザのパスワードポリシーを変更する
自分専用のサーバであれば問題ないかと思いますが、ユーザを今後色々と作成する可能性がある場合は
パスワードポリシーを設定しておくのが安心です。この後、作成するIAMユーザのパスワードもこのポリシーが適用されます。
パスワードの最小文字数は、12文字がいいかもしれません。
英語大文字、小文字、数字、記号の組み合わせが必要にしておきます。
IAMユーザの作成
基本的には、rootユーザは普段使いしないようにする必要があります。
そのために、IAMユーザを作成して、こちらを利用します。
強くお勧めするのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、初期の IAM ユーザーを作成するためにのみ、ルートユーザーを使用するというベストプラクティスに従います。
https://docs.aws.amazon.com/ja_jp/mediapackage/latest/ug/setting-up-create-iam-user.html
rootユーザで、IAM ダッシュボードを表示します。(検索からIAM)
左ナビから、ユーザーを選択します。
ユーザーを追加をクリックします。
ユーザー名は自分がわかりやすいものを指定します。
AWS認証情報タイプは、パスワードを選択します。
パスワードにチェック、自動生成パスワードにチェック、パスワードのリセットが必要にチェックをいれます。
グループの作成をクリックして、当該ユーザのグループを指定します。
グループ名をわかりやすいものを入れて、ポリシーのAdministratorAccesにチェックを入れます。
グループが作成され、ユーザに追加されます。
タグの追加は、特に必要がなかればそのまま未設定で進めます。
設定内容の確認画面が出ます。
ユーザの作成が成功しました。
赤枠のログインURL、ユーザ名、パスワードはしっかりと保存しておきます。
.csvのダウンロード、Eメールの送信をしておくと安心です。
作成したユーザでログインできることを確認します。上記に表示されているURLでログインします。
詳細については、以下を参照ください。
請求アラートの設定
万が一、乗っ取られたり、余計なサービスを利用してしまって、高額請求とならないように
金額がある程度超えたら請求額の通知を行うように設定しておきます。
上記で作成したIAMユーザに請求ダッシュボードの権限を与えていない場合は、rootユーザでログインします。
右上のアカウント情報をクリックして、請求ダッシュボードへ遷移します。
以下のような設定がでてきます。
とりあえず、全てONにしておきます。
無料利用枠の使用アラートを受信するには、メールアドレスも設定しておきます。
請求アラートについては、請求アラートを管理するリンクから別途設定が必要になります。
ちなみに、請求アラートは一度オンにするとオフに戻すことはできません。
アラームの作成をクリックします。
条件を設定します。
以下の例は、$5より請求額あ大きくなったら通知する設定になります。
メトリクス名、Currency、統計、期間、しきい値の種類、EstimagedChangesが次の時は、そのまま、…よりもを$5にします。
続いて、アラームの通知先を設定します。
既存のSNSトピックがある場合はそちらを選択、なければ、新しいトピックを作成します。
トピック名は、デフォルトで入ります。
通知を受け取るEメールエンドポイントは、任意のメールアドレスを入力します。
トピックの作成をクリックして、作成します。
作成後、既存のSNSトピックを選択で、作成したものを指定して、通知の追加を行います。
SNSが保留状態になっているので、メールを確認して認証します。
以下のようなメールが届くので、ConfirmリンクからConfirmします。
ステータスが、確認済みになったことを確認します。
トピックの作成が完了したら、アラートの次へで説明の追加で適当な名前を設定して、次へを押し、内容の確認が出るので、アラームの作成を実施します。
秘密の質問を設定する
秘密の質問は、カスタマーサービスでの本人確認で利用されます。確認できないとサポートへの問い合わせができなくなる可能性があります。
一度設定すると変更はできますが、削除はできません。
右上のアカウントをクリックして、アカウントを表示します。
表示されたページのスクロールして下の方にある、秘密の質問の設定の編集をクリックします。
3つの質問の回答を記入します。
一旦、ここまでとします。
これ以外にもやっておいたほうがいい設定はいくつかあります。
以下のページを参考に、必要と思われるものを設定してください。
AWSを使うときに確認すべき52のセキュリティチェック項目と15分でできる簡単なチェックの方法 | DevelopersIO