サポート終了通知: 2024 年 10 月 22 日、 AWS は Amazon Nimble Studio のサポートを終了します。2024 年 10 月 22 日以降、Nimble Studio コンソールまたは Nimble Studio リソースにアクセスできなくなります。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS アカウント セキュリティの設定
このガイドでは、 リソース AWS アカウント が侵害されたときに通知を受信し、特定の AWS アカウント ユーザーがアクセスできるように を設定する方法を示します。を保護し AWS アカウント 、 リソースを追跡するには、次の手順を実行します。
内容
アカウントのアクセスキーを削除する
AWS Command Line Interface (AWS CLI) または AWS APIs を使用して、 AWS リソースへのプログラムによるアクセスを許可できます。ただし、 AWS では、プログラムによるアクセスのためにルートアカウントに関連付けられたアクセスキーを作成または使用しないことをお勧めします。
アクセスキーがまだ残っている場合は、それらを削除してユーザーを作成することをお勧めします。次に、呼び出す予定の API に必要なアクセス許可のみをそのユーザーに付与します。そのユーザーを使ってアクセスキーを発行できます。
詳細については、「AWS 全般のリファレンス ユーザーガイド」の「AWS アカウントのアクセスキー管理」を参照してください。
Multi-Factor·Authentication を有効にする
多要素認証
MFA の仕組みは次のとおりです。まずユーザー名とパスワードでサインインしたら、自分だけが物理的にアクセスできる追加の情報を指定する必要があります。この情報は、専用の MFA ハードウェアデバイスから取得することも、スマートフォンのアプリから取得することも可能です。
サポートされている MFA デバイスのリスト
仮想 MFA デバイス (電話アプリなど) を使用する場合は、スマートフォンの紛失や破損の可能性について考慮します。1 つの方法は、使用する仮想 MFA デバイスを安全な場所に保管することです。もう 1 つのオプションは、複数のデバイスを同時にアクティベートするか、仮想 MFA オプションを使用してデバイスキーを回復することです。
MFA の詳細については、「仮想多要素認証 (MFA) デバイスの有効化」を参照してください。
関連リソース
すべての で CloudTrail を有効にする AWS リージョン
を使用して、 AWS リソース内のすべてのアクティビティを追跡できますAWS CloudTrail
すべての で CloudTrail のログ記録を有効にするには AWS リージョン、AWS CloudTrail 「更新 – すべてのリージョンで を有効にする」および「複数の証跡を使用する
CloudTrail の詳細については、CloudTrail を有効にする: で API アクティビティをログ AWS アカウント
Amazon GuardDuty および通知のセットアップ
Amazon GuardDuty は、以下を分析して処理する継続的なセキュリティモニタリングサービスです。
-
Amazon VPC フローログ
-
AWS CloudTrail 管理イベントログ
-
CloudTrail S3 データイベントログ
-
DNS ログ
Amazon GuardDuty は、 AWS 環境内の予期しないアクティビティ、潜在的に不正なアクティビティ、悪意のあるアクティビティを特定します。このアクティビティには、権限のエスカレートや、公開されている認証情報の使用、悪意のある IP アドレスまたはドメインでの通信も含まれます。GuardDuty は、悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードや機械学習を使用して、これらのアクティビティを識別します。例えば、GuardDuty はマルウェアやマイニングビットコインに使われている侵害された Amazon EC2 インスタンスを検出できます。
また、GuardDuty は AWS アカウント アクセス動作をモニタリングして侵害の兆候がないか調べます。これには、使用したことのない にデプロイされたインスタンスなど、不正なインフラストラクチャ AWS リージョン のデプロイが含まれます。また、パスワードの強度を低下させるパスワードポリシーの変更などの異常な API 呼び出しも含まれます。
GuardDuty は、セキュリティ上の検出結果を生成することで、 AWS 環境のステータスを通知します。これらの検出結果は、GuardDuty コンソールまたは Amazon CloudWatch Events で確認できます。
Amazon SNS トピックおよびエンドポイントの設定
「Amazon SNS トピックおよびエンドポイントの設定」のチュートリアルの指示に従います。
GuardDuty の検出結果に対する EventBridge イベントのセットアップ
EventBridge のルールを作成して GuardDuty が生成するすべての検出結果に対するイベントを送信します。
GuardDuty の検出結果に対する EventBridge イベントを作成するには
-
Amazon EventBridge コンソール (https://console.aws.amazon.com/events/
) にサインインします。 -
ナビゲーションペインで [ルール] を選択します。次に、[Create rule (ルールを作成)] を選択します。
-
新しいルールの [名前] と [説明] を入力します。次いで、[次へ] を選択します。
-
[イベントソース] で選択したAWS イベントまたは EventBridge パートナーイベントは選択したままにします。
-
[イベントパターン] で、[イベントソース] に [AWS サービス] を選択します。次に、[AWS サービス] に [GuardDuty] を、[イベントタイプ] には [GuardDuty の検出結果] を選択します。これは「Amazon SNS トピックおよびエンドポイントの設定」で作成したトピックです。
-
[Next (次へ)] を選択します。
-
[ターゲット 1] で [AWS サービス] を選択します。[ターゲットの選択] ドロップダウンで [SNS トピック] を選択します。次に、[GuardDuty_to_Email] トピックを選択します。
-
[追加設定] セクションでは、[ターゲット入力の設定] ドロップダウンを使用して [入力トランスフォーマー] を選択します。[入力トランスフォーマーを設定] を選択します。
-
[ターゲット入力トランスフォーマー] セクションの [入力パス] フィールドに、以下のコードを入力します。
{ "severity": "$.detail.severity", "Account_ID": "$.detail.accountId", "Finding_ID": "$.detail.id", "Finding_Type": "$.detail.type", "region": "$.region", "Finding_description": "$.detail.description" } -
E メールの形式を設定するには、[テンプレート] フィールドに以下のコードを入力します。
"AWS<Account_ID>has a severity<severity>GuardDuty finding type<Finding_Type>in the<region>region." "Finding Description:" "<Finding_description>. " "For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id=<Finding_ID>" -
[Create] (作成) を選択します。次いで、[次へ] を選択します。
(オプション) タグを使用して AWS リソースを追跡する場合は、タグを追加します。
-
[Next (次へ)] を選択します。
-
ルールを確認します。次に、[Create rule (ルールを作成)] を選択します。
AWS アカウント セキュリティを設定したので、特定のユーザーにアクセスを許可し、リソースが侵害されたときに通知を受け取ることができます。
