予想外のイベントからAWSアカウントの使用を確保するためのチェックリスト
3745 ワード
先月、私はAWS口座の使用のために60ドルのドルの請求を得ました.それは私の小さな実験とブログ記事のためにあまりにも多くでした.だからこそ、私はあなたのアカウントを確保し、お客様のアカウントの管理費用については、このチェックリストを書くことを決めた理由です.ボーナスとして、私はこの記事の最後の章で請求アラームを展開するためのCDKプロジェクトを作りました.
手順は次のとおりです. MFAを加える ユーザを作成 CLIアクセス資格情報の更新 リソースのすべての領域をダブルチェックする セットアップ請求アラート( CDKプロジェクト)
rootユーザにMFAを追加する
パスワードはすでにアカウントの保護を支援していません.それで、もう一つの認証方法を持つことは、それがハッキングされるのを防ぎます.私の好みの方法は1 passwordを使うことです.それは1回のコードの組み込みサポートしています.一度電話が一度仕事中に家にいたとき、私はそれが便利であるとわかりました.1 Passwordのアプリケーションは、AFAのアカウントに接続されているMFAと私のラップトップ上で実行されていた.それは私の一日を保存.
管理者とユーザを分離する
新しく作成されたAWSアカウントで退屈なユーザーセットアップをスキップする誘惑があります.つは、できるだけ速く雲を使い始めたいです.私はそのような状況にあった.しかし,rootユーザから資源を管理するのは悪習と考えられる.
ハッカーがアカウントアクセスを得るなら、それは本当の問題です.誰かがEC 2インスタンスで暗号通貨を使う能力を持つでしょう.そこで、この問題を回避するには、AdministrororAccessロールを持つコンソールとプログラムのアクセスを使用して別のユーザーを作成します.このアカウントにMFAを追加することを忘れないでください.
プログラムの新しいアクセス
私は365日以上前にCLIアクセスの資格情報を作成しました.それもセキュリティリスクです.ここでの主な考えは、明日ではなく、今日それらをリフレッシュすることです.また、特にアクセスキーIDと秘密のアクセスキーを公開しないでください.
リソースのすべての領域をダブルチェックする
若干のコストがいつも請求書にあるとき、状況がありえます.それは、何かがまだ予算を食べていることを意味します.コストで最も危険なAWSサービスはVPC、ECS、EC 2です.これらはあなたが行くモデルとして有料している.
EC 2のすべてのインスタンスが秒単位で課金していることを意味します.もう一つのトリックは、Fargateサービスを実行しているECSクラスタがコストを持つということです.たとえば、Javaの春のアプリを1秒ごとにログを記録します.Fargateは、コンテナを実行するServerlessな方法です.ロギングは、無限大に何度も繰り返しサービスを回転させる必要があります.それは私が法案を得たときに起こったことです.
課金の警告を設定する
請求の問題は、この記事の動機である.そういうわけで、私は請求警報をセットアップすることを提案しています.それは、しきい値がUSDの希望の量を交差するときにメールに通知を送信します.私の場合は5ドルかかりました.
私はそのための小さなCDKプロジェクトを作成しました.Githubでそれを見つけることができましたhere . ここで何をしていますか.請求アラームのためのメトリックがあります
雲の中のあなたの費用に関して穏やかな心を成し遂げるために、いくつかのステップがあります: SSMでメールを設定します.
repoをインストールし、依存関係をインストールします( Linux/MacOSの場合).
しきい値を変更したい場合は、 展開:
もちろん、これらのアクションは、ハッカーや予想外の法案から100 %の保護を与えていません.しかし、あなたのクラウドリソースについてのAWSから奇妙なニュースを得る機会は、このチェックリストからすべての完成点で減少します.あなたは、セキュリティを改善して、AWSであなたの請求を安定させるどんな行動を持ちますか?
手順は次のとおりです.
rootユーザにMFAを追加する
パスワードはすでにアカウントの保護を支援していません.それで、もう一つの認証方法を持つことは、それがハッキングされるのを防ぎます.私の好みの方法は1 passwordを使うことです.それは1回のコードの組み込みサポートしています.一度電話が一度仕事中に家にいたとき、私はそれが便利であるとわかりました.1 Passwordのアプリケーションは、AFAのアカウントに接続されているMFAと私のラップトップ上で実行されていた.それは私の一日を保存.
管理者とユーザを分離する
新しく作成されたAWSアカウントで退屈なユーザーセットアップをスキップする誘惑があります.つは、できるだけ速く雲を使い始めたいです.私はそのような状況にあった.しかし,rootユーザから資源を管理するのは悪習と考えられる.
ハッカーがアカウントアクセスを得るなら、それは本当の問題です.誰かがEC 2インスタンスで暗号通貨を使う能力を持つでしょう.そこで、この問題を回避するには、AdministrororAccessロールを持つコンソールとプログラムのアクセスを使用して別のユーザーを作成します.このアカウントにMFAを追加することを忘れないでください.
プログラムの新しいアクセス
私は365日以上前にCLIアクセスの資格情報を作成しました.それもセキュリティリスクです.ここでの主な考えは、明日ではなく、今日それらをリフレッシュすることです.また、特にアクセスキーIDと秘密のアクセスキーを公開しないでください.
リソースのすべての領域をダブルチェックする
若干のコストがいつも請求書にあるとき、状況がありえます.それは、何かがまだ予算を食べていることを意味します.コストで最も危険なAWSサービスはVPC、ECS、EC 2です.これらはあなたが行くモデルとして有料している.
EC 2のすべてのインスタンスが秒単位で課金していることを意味します.もう一つのトリックは、Fargateサービスを実行しているECSクラスタがコストを持つということです.たとえば、Javaの春のアプリを1秒ごとにログを記録します.Fargateは、コンテナを実行するServerlessな方法です.ロギングは、無限大に何度も繰り返しサービスを回転させる必要があります.それは私が法案を得たときに起こったことです.
課金の警告を設定する
請求の問題は、この記事の動機である.そういうわけで、私は請求警報をセットアップすることを提案しています.それは、しきい値がUSDの希望の量を交差するときにメールに通知を送信します.私の場合は5ドルかかりました.
私はそのための小さなCDKプロジェクトを作成しました.Githubでそれを見つけることができましたhere . ここで何をしていますか.請求アラームのためのメトリックがあります
EstimatedCharges
. これは、メールサブスクリプションでSNSのトピックに通知されます.このプロジェクトの最良の部分は、プロジェクトは完全に無力です.それは時間のための何もコストがかかります.雲の中のあなたの費用に関して穏やかな心を成し遂げるために、いくつかのステップがあります:
aws ssm put-parameter --name "/billing/email" --type "String" --value "<your email>" --profile <if you are using it>
git clone https://github.com/Grenguar/cdk-billing-alert.git
cd cdk-billing-alert
cd infra
npm i
infra/bin/infra.ts
ファイル.パラメータと呼ばれますmonetaryLimit
npx cdk deploy --profile <if you are using it>
これがCloudWatch ->警報の結果です.もちろん、これらのアクションは、ハッカーや予想外の法案から100 %の保護を与えていません.しかし、あなたのクラウドリソースについてのAWSから奇妙なニュースを得る機会は、このチェックリストからすべての完成点で減少します.あなたは、セキュリティを改善して、AWSであなたの請求を安定させるどんな行動を持ちますか?
Reference
この問題について(予想外のイベントからAWSアカウントの使用を確保するためのチェックリスト), 我々は、より多くの情報をここで見つけました https://dev.to/aws-builders/checklist-for-securing-the-usage-of-aws-account-from-unexpected-events-48eテキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol