Masz już swoje konto w AWS, ale nie jest ono jeszcze w pełni przygotowane do bezpiecznego korzystania z chmury. Zabezpieczenie konta jest proste, nic nie kosztuje i nie zajmuje dużo czasu 🙂
KROK 1: Logowanie i wybór usługi IAM
Zaloguj się do kosoli używając root credentials (e-mail i hasło podane przy zakładaniu konta). Następnie wyszukaj wśród ponad 100 usług usługę IAM – Identity & Access Management.
Na pulpicie zobaczysz kilka ostrzeżeń dotyczących zabezpieczenia konta:
Zauważ, że pierwszy – bardzo ważny krok – został już zrobiony za Ciebie – chodzi o usunięcie możliwości programistycznego dostępu do zasobów z pełnymi uprawnieniami do konta. Dlaczego jest to ważne? Jeśli klucze dostępowe dostałyby się w niepowołane ręce, oznaczałoby to całkowitą utratę kontroli nad Twoim kontem.
KROK 2: MFA dla konta root
Aby zwiększyć bezpieczeństwo konta root, dodamy MFA (Multi-factor Authentication). AWS dopuszcza kilka rodzajów urządzeń MFA – może to być smartfon z aplikacją taką jak Authy, Google Authenticator itd. Pełną listę urządzeń znajdziesz w dokumentacji.
Po wybraniu virtual MFA device zobaczysz ekran z QR kodem widocznym po kliknięciu w link. Zeskanuj kod, dodaj konto w aplikacji MFA, a następnie wpisz 2 kolejno wygenerowane numery.
Zrób wydruk albo screenshot tego kodu – przyda się, jeśli np. zgubisz urządzenie MFA.
KROK 3: Użytkownicy i grupy
W tym kroku utworzysz użytkownika, utworzysz 2 grupy: Administrators i BillingManagement, przypiszesz do grup odpowiednie uprawnienia oraz dodasz użytkownika do obu grup.
Użytkownik będzie mógł logować się do konsoli AWS oraz zarządzać kontem z CLI (Command Line Interface) za pomocą kluczy.
Tworzymy grupę Administrators. Wszyscy użytkownicy należący do tej grupy będą mieli pełne uprawnienia do wszystkich zasobów na Twoim koncie.
Kolejna grupa użytkowników będzie miała dostęp do danych o kosztach, do faktur, a także będzie mogła zarządzać powiadomieniami dotyczącymi bieżących i prognozowanych kosztów korzystania z chmury.
Nasz użytkownik należy już do obu grup:
Mamy już użytkownika. Został też utworzony klucz pozwalający na dostęp programistyczny do zasobów w AWS. Jest to jedyny moment, gdy możesz zobaczyć lub pobrać klucz:
KROK 4: Polityka haseł
Kolejnym krokiem jest ustawienie polityki haseł:
KROK 5: Utworzenie aliasu
Link do logowania dla IAM users będzie przyjemniejszy w używaniu jeśli zamiast numeru konta w AWS będzie zawierał łatwy do zapamiętania alias. Aby go utworzyć, należy kliknąć „Customize” i wpisać nazwę aliasu w okienku. Alias możesz usunąć w każdej chwili ponownie klikając w „Customize”
KROK 6: Dodanie MFA na koncie użytkownika
Teraz Twój Security Dashboard wygląda jak na zdjęciu poniżej. Niemniej jednak nasz nowo dodany użytkownik ma bardzo szerokie uprawnienia – zabezpiecz również dostęp do jego konta za pomocą MFA.
W tym celu zaloguj się do konsoli jako IAM User. Możesz użyć utworzonego wcześniej aliasu 🙂
Wybierz ponownie usługę IAM, przejdź do zakładki „Users”, wybierz użytkownika, a następnie zakładkę „Security credentials”. Przypisz urządzenie MFA w ten sam sposób, jak w przypadku dodawania MFA do dostępu jako root.
KROK 7: Dostęp dla użytkowników do sekcji „Billing”
Zaloguj się ponownie za pomocą root credentials i przejdź do sekcji ustawień konta. Znajduje się ona w prawym górnym rogu konsoli.
W sekcji „Account Settings” – w dolnej części – możesz umożliwić dostęp do informacji o kosztach dla IAM Users oraz IAM Roles:
KROK 8: Budżety i powiadomienia o kosztach
Na pewno nie chcesz, żeby koszty używania chmury wymknęły Ci się spod kontroli 🙂 W zarządzaniu kosztami pomocne jest ustawienie budżetów (np. $20 miesięcznie). Przejdź do „Budgets” i utwórz swój pierwszy miesięczny budżet:
Skąd będziesz jednak wiedzieć, czy przypadkiem nie przekroczysz zaplanowanych wydatków? Tworząc budżet możesz ustawić powiadomienia o rzeczywistych oraz prognozowanych kosztach:
Gotowe!
Twoje konto w AWS jest już w pełni gotowe! Miłego poznawania chmury 🙂