プライマリアカウントは、すべてのクラウドリソースを管理するルートアカウントと同等です。そのため、プライマリアカウントのパスワードや API AccessKey が失われたり開示されたりすると、企業に大きな損失をもたらす可能性があります。

このドキュメントでは、プライマリアカウントのセキュリティを確保する方法について説明します。

原則 1:ルートアカウントのアカウント保護を有効にする

  • ルートアカウントのアカウント保護を有効にします。また、MFA デバイスを他のユーザーと共有しないでください。
  • 特別な操作権限を持つ RAM ユーザーに対して MFA を有効にします。特別な操作権限には、ユーザー管理、認証、インスタンスの停止とリリース、インスタンス設定の変更、およびデータの削除などがあります。

原則 2:定期的な O&M 管理業務には、異なる RAM アカウントを作成する

  • 従業員向けの RAM ユーザーアカウントを作成し、そのアカウントで定期的な O&M 管理業務を行います。
  • 財務部門の従業員には、個別の RAM ユーザーアカウントを作成します。
  • RAM 管理者には、個別の RAMユーザーアカウントを作成します。

原則 3:ルートアカウントの AccessKey の作成を禁止する

AccessKey には、ログインパスワードと同じ権限があります。ただし、AccessKey はプログラムへのアクセスに使用され、ログインパスワードはコンソールへのログインに使用されます。通常、AccessKey は平文の形式で設定ファイルに保存されるため、漏洩リスクが高くなります。

すべてのアプリケーションシステムに RAM ユーザー ID を設定し、RAM ユーザーにポリシーを割り当てる場合は、最小権限の原則に従います。

原則 4:IP 制限付きの権限付与ポリシーを使用する

特別な操作権限を付与されたユーザーには、IP 制限 (acs:SourceIp) を設定する必要があります。

したがって、RAM ユーザーのログインパスワードまたは AccessKey が開示されたとしても、攻撃者が信頼できるネットワークに侵入していない限り、アカウント情報を取得できません。

原則 5:MFA 制限付きの権限付与ポリシーを使用する

特別な操作権限を付与されたユーザーには、MFA 制限 (acs:MFAPresent) を設定する必要があります。

したがって、RAM ユーザーのログインパスワードまたは AccessKey が開示されたとしても、MFA デバイスを紛失していない限り、攻撃者はアカウント情報を取得できません。

その他の制限については、「ポリシー構文の構造」をご参照ください。

完璧なセキュリティのようなものはなく、あるのはベストプラクティスのみです。これらの保護メカニズムと組み合わせ、セキュリティのベストプラクティスの原則に従えば、アカウント資産のセキュリティは大幅に強化されます。