AWSアカウント作ったらまずやっておくべきこと!(パスワードポリシー編)

IT

はじめに

別の記事にてIAMサービスにてIAMユーザーを作成する手順をお伝えしましたが、
今回はさらにそこから発展してパスワードポリシーの話をしたいと思います。

パスワードポリシーというのはユーザーを作成しようとする時に
見破られやすいような簡単なパスワードをシステム的に設定できないようにする設定のことを言います。

この設定を行うことで、ユーザーの作成時に複雑なパスワードを考えなくてはいけなくなるので面倒ではあるのですが、
セキュリティ的にはかなり効果的になるので、できるだけ設定しておきましょうね。

パスワードポリシーの設定

さて、では設定していきましょう。

  1. IAMマネジメントコンソールにアクセスする

    まずはIAMマネジメントコンソールにアクセスしましょう。

    IAMユーザーを使って、AWSマネジメントコンソールにログインします。
    ログインの方法は以下のURLで、<アカウントID>の箇所をアカウント作成時に発行されるAWSのアカウントIDに変更して
    アクセスしてください。

    ▪️ログインURL
       ”https://<アカウントID>.signin.aws.amazon.com/console”

    すると、下の画像のようなログイン画面に遷移すると思いますので作成したIAMユーザーでログインしてみて下さい。


    以下の画面のようにAWSマネジメントコンソールにログインできたと思います。

    次に画面中央上部のサービスをクリックします。
    すると、図のようにサービス一覧が出てくるので、「IAM」をクリックしてIAMマネジメントコンソールに遷移しましょう。

  2. IAMパスワードポリシー画面にアクセスする

    IAM マネジメントコンソールにアクセスしたら、「IAMパスワードポリシーの適用」から「パスワードポリシーの管理」を押します。

  3. ードポリシーの設定

    アクセスしたら、パスワードポリシーを設定していきましょう。
    設定できる項目は以下になります。

    パスワードを強化するための推奨の設定値も一緒に載せて起きます。
    まずは、推奨の値をそのまま採用してもよいですが、全ての設定に意味があるので説明を読みながら調整していってみてください。

    設定値
    デフォルト 推奨 説明
    6 パスワードの文字数を設定します。長くするほど推測されづらくなりますが、長すぎるとパスワードを考えるのが難しくなります。
    少なくとも 1 つの大文字が必要

    パスワードに設定する必要のある文字種の設定です。基本的には全てにチェックを入れることが望ましいです。
    かなり幅広い文字種を使用することになるので、かなり推測しづらいパスワードになります。

    少なくとも 1 つの小文字が必要
    少なくとも 1 つの数字が必要
    少なくとも 1 つの英数字以外の文字が必要
    ユーザーにパスワードの変更を許可 このチェックをはずすとルートアカウントからのみIAMユーザーのパスワードが変更できるようになります。
    パスワードの失効を許可


    日数:90

    パスワードに有効期限を設定し、超えたときに強制的にパスワード変更を促します。1日〜1095日(3年)で設定でき、3ヶ月(90日)程度で変更したほうがよいと思います。
    パスワードの再利用を禁止
    世代:1
    過去の数世代分のパスワードを記憶し、同じパスワードの設定を不可にします。過去1〜24世代を設定でき、最低1世代は再利用禁止にすることをお奨めします。
    パスワードの有効期限で管理者のリセットが必要 設定した有効期限を越えた場合、ユーザーをロックします。解除にはルートアカウントでの解除が必要になります。

     

    上記の設定画面は下記のようになります。
    各設定を入力して、「パスワードポリシーの適用」を押しましょう。

    ポリシーの更新に成功すると以下の画面のように表示が出ますので、これでOKです。

まとめ

今回はIAMユーザーのパスワードポリシーに関して設定方法をご紹介してきましたが、
いかがでしたでしょうか?

おそらく難しい操作は無いので、特に詰まることも無く設定できたと思います。
このパスワードポリシーの設定は、現段階では足かせでしかなく邪魔に思えるかもしれません。
ただ、今後AWSの扱いに慣れてきて、権限ごとにユーザーを分割して作成するときに必ず生きてくると思います。

その頃には、パスワードポリシーの設定値も推奨値ではなく、お使いの環境に最適化した値にできるようになると思います。
また、企業などで設定する場合は、セキュリティポリシーが決められているところも多いと思いますので、
確認して最適なポリシーを設定してくださいね!

コメント

タイトルとURLをコピーしました