AWS セキュリティ対策
1 二段階認証を使う
Authyとかで二段階認証するようにする
自分のPCとか携帯にいれるauthyみたいなソフトの説明は一旦置いとく。調べて。
AWS側ではヘッダーのアカウント名からマイセキュリティ資格情報をクリックし、Continue to Security Credentialsをクリック
多要素認証(MFA)を有効化する
仮想MFAデバイスで続行すると
QRコードの表示ができるので
スマホでauthyを開き、アカウントを+で追加してQRコードを読み取る
ワンタイムパスワードが発行されるのでAWSのMFAコードにパスワードを入力
またパスワードが表示されるので入力
MFA割当てで設定終了
2 IAMユーザーを使う
最初に作ったユーザーはルートユーザーなので普段のログインで使うのは良くない。
使える機能を制限したユーザーを作成してそのユーザーでログインするようにする。
普通にIAMユーザーのサービス検索して個々のIAMユーザー作成からユーザー管理を選び、ユーザーを追加を選択すると設定に入る
ユーザー名を入力
プログラムによりアクセスを選んで次へ
既存のポリシーを直接アタッチを選択して
amazonS3を検索して
AmazonS3FullAccessをチェックして次へ
次は何もせず次へ(次のステップ:確認)
情報を確認したらユーザーを作成
忘れずに認証情報をダウンロード(.csvのダウンロード)
IAMユーザーのパスワード設定をする
作成したユーザーをクリックし、認証情報のタブからコンソールのパスワード欄の管理をクリックする
有効化。自動生成パスワードをクリック
ルートユーザーの時と同じように認証情報をダウンロード(.csvファイル)
これでIAMでログインできるようになった
csvにはUser nameとPasswordとConsole login linkが書いてあるので
記載されてるURLに記載されてるUser nameとPasswordでログインする感じ
最後に(これはルートユーザーでやるのでログインし直す)IAMも二段階認証にする
作成したIAMユーザーの認証情報タブからMFAデバイスの割当の部分の管理をクリックして、ルートユーザーの時と同じように二段階認証の設定をする
3 git-secrets
githubに設定したパスワード等が上がらないようにしてくれるツール。pushしようとしたものにチェックに引っかかる物があれば処理を中断してくれる
cd でルートに戻り
brew install git-secretsで導入
設定を適用したいリポジトリに移動して
git secrets --install で使用できるようにして
git secrets --register-aws --global でaws関連の秘密情報を設定
一応 git secrets --listで設定確認できる
今後作成される全てのリポジトリでgit -secretsが適用されるように
$ git secrets --install ~/.git-templates/git-secrets
$ git config --global init.templatedir '~/.git-templates/git-secrets'
|
Github Desktopを使っている場合は
sudo cp /usr/local/bin/git-secrets /Applications/GitHub\ Desktop.app/Contents/Resources/app/git/bin/git-secrets
この時appllicationフォルダ内にgithub desktopがないとだめなのでファインダーとかで確認しとく
そんなんないよってエラーがでたら
sudo cp /usr/local/bin/git-secrets /Applications/GitHub\ Desktop.app/Contents/Resources/git/bin/git-secrets