Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

知恵
Pocket

お値段も手頃なAWS Lightsailへ移行してきましたが、セキュリティ対策をきちんとやっておかないと痛い目にあいます。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

【AWS不正利用】1日で20万円以上の請求が届いてから免除されるまで #AWS - Qiita

結果結果からご報告するとAWSスタッフのご厚意で、不正利用された分の料金は免除に…
qiita.com

Lightsailの移行については、以下を参照ください。

LightsailのAWSアカウント作成については、こちら。

Amazon LightsailでWordPress構築 - AWSアカウント作成編

Amazon LightsailでWordPress構築 - AWSアカウント作成編

某お名前のドットcomでレンタルサーバ運用していましたが、月額がそこそこ高いこと…
zaitakukinmu.com

Lightsailの設定については、こちら。

Amazon LightsailでWordPress構築 - AWSアカウント作成編

Amazon LightsailでWordPress構築 – Lightsail設定編

前回の続きになります。 AWSアカウントを作成していない方は、こちらを参考に作成…
zaitakukinmu.com

LightsailのWordPressの設定については、こちら。

Amazon LightsailでWordPress構築 - AWSアカウント作成編

Amazon LightsailでWordPress構築 - WordPress設定編

前回からの続きになります。 本編では、WordPressの設定を行っていきます。…
zaitakukinmu.com

早速、セキュリティ周りの変更を行っていこうと思います。

rootユーザのMFA(多要素認証)を有効にする

rootユーザは、何でもできてしまう最高権限のユーザなので、IDとパスワードだけでのログインを許容していると危険です。多要素認証を必ず設定しておきましょう。

コンソールにログイン後、右上のアカウント名をクリックしセキュリティ認証情報をクリックします。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

セキュリティ認証情報メニューから多要素認証(MFA)を表示し、MFAの有効化をクリックします。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

基本的には、仮想MFAデバイスを選択して、次に進みます。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

QRコードの表示をクリックして、QRコード、シークレットキーを表示させます。(これは、漏洩しないようにご注意ください。)また、スマホが壊れた場合や機種変更した時の為に、シークレットキーは、どこか安全なところに保存しておきましょう。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

多要素認証用のスマホアプリで、上記のQRコードを読み込みます。

私は、マイクロソフトのAuthenticatorを利用しています。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

‎「Microsoft Authenticator」をApp Storeで

Microsoft Authenticator を使用すると、多要素認証、パスワ…
apps.apple.com

デバイスに表示された連続したコードを入力し、MFAの割り当てをクリックすると設定が完了となります。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

これで、ID+パスワード+MFAの認証となります。

詳細は、以下をご参考ください。

AWS Management Consoleで仮想 MFA デバイスを割り当てる - AWS Identity and Access Management

IAM コンソールを使用して仮想 MFA デバイスを設定する方法を学びます。
docs.aws.amazon.com

ユーザのパスワードポリシーを変更する

自分専用のサーバであれば問題ないかと思いますが、ユーザを今後色々と作成する可能性がある場合は

パスワードポリシーを設定しておくのが安心です。この後、作成するIAMユーザのパスワードもこのポリシーが適用されます。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

パスワードの最小文字数は、12文字がいいかもしれません。

英語大文字、小文字、数字、記号の組み合わせが必要にしておきます。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

IAMユーザの作成

基本的には、rootユーザは普段使いしないようにする必要があります。

そのために、IAMユーザを作成して、こちらを利用します。

強くお勧めするのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、初期の IAM ユーザーを作成するためにのみ、ルートユーザーを使用するというベストプラクティスに従います。

https://docs.aws.amazon.com/ja_jp/mediapackage/latest/ug/setting-up-create-iam-user.html

rootユーザで、IAM ダッシュボードを表示します。(検索からIAM)

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

左ナビから、ユーザーを選択します。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

ユーザーを追加をクリックします。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

ユーザー名は自分がわかりやすいものを指定します。

AWS認証情報タイプは、パスワードを選択します。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

パスワードにチェック、自動生成パスワードにチェック、パスワードのリセットが必要にチェックをいれます。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

グループの作成をクリックして、当該ユーザのグループを指定します。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

グループ名をわかりやすいものを入れて、ポリシーのAdministratorAccesにチェックを入れます。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

グループが作成され、ユーザに追加されます。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

タグの追加は、特に必要がなかればそのまま未設定で進めます。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

設定内容の確認画面が出ます。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

ユーザの作成が成功しました。

赤枠のログインURL、ユーザ名、パスワードはしっかりと保存しておきます。

.csvのダウンロード、Eメールの送信をしておくと安心です。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

作成したユーザでログインできることを確認します。上記に表示されているURLでログインします。

詳細については、以下を参照ください。

AWS Elemental MediaPackage

docs.aws.amazon.com

請求アラートの設定

万が一、乗っ取られたり、余計なサービスを利用してしまって、高額請求とならないように

金額がある程度超えたら請求額の通知を行うように設定しておきます。

上記で作成したIAMユーザに請求ダッシュボードの権限を与えていない場合は、rootユーザでログインします。

右上のアカウント情報をクリックして、請求ダッシュボードへ遷移します。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

以下のような設定がでてきます。

とりあえず、全てONにしておきます。

無料利用枠の使用アラートを受信するには、メールアドレスも設定しておきます。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

請求アラートについては、請求アラートを管理するリンクから別途設定が必要になります。

ちなみに、請求アラートは一度オンにするとオフに戻すことはできません。

アラームの作成をクリックします。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

条件を設定します。

以下の例は、$5より請求額あ大きくなったら通知する設定になります。

メトリクス名、Currency、統計、期間、しきい値の種類、EstimagedChangesが次の時は、そのまま、…よりもを$5にします。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編
Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

続いて、アラームの通知先を設定します。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

既存のSNSトピックがある場合はそちらを選択、なければ、新しいトピックを作成します。

トピック名は、デフォルトで入ります。

通知を受け取るEメールエンドポイントは、任意のメールアドレスを入力します。

トピックの作成をクリックして、作成します。

作成後、既存のSNSトピックを選択で、作成したものを指定して、通知の追加を行います。

SNSが保留状態になっているので、メールを確認して認証します。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

以下のようなメールが届くので、ConfirmリンクからConfirmします。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

ステータスが、確認済みになったことを確認します。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

トピックの作成が完了したら、アラートの次へで説明の追加で適当な名前を設定して、次へを押し、内容の確認が出るので、アラームの作成を実施します。

秘密の質問を設定する

秘密の質問は、カスタマーサービスでの本人確認で利用されます。確認できないとサポートへの問い合わせができなくなる可能性があります。

一度設定すると変更はできますが、削除はできません。

右上のアカウントをクリックして、アカウントを表示します。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

表示されたページのスクロールして下の方にある、秘密の質問の設定の編集をクリックします。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

3つの質問の回答を記入します。

Amazon LightsailでWordPress構築 – AWSセキュリティ設定編

一旦、ここまでとします。

これ以外にもやっておいたほうがいい設定はいくつかあります。

以下のページを参考に、必要と思われるものを設定してください。