“アカウント作成後すぐやるセキュリティ対策” 編を公開しました！- Monthly AWS Hands-on for Beginners 2020年4月号

こんにちは、テクニカルソリューションアーキテクトの金澤 (@ketancho) です。先月末に「はじめの一歩」ハンズオンを公開したのですが、皆様ご覧いただけましたでしょうか？ちょうど春先の時期だったこともあり、多くの AWS 初学者の方にご視聴いただけているようでありがたい限りです。

さて、この記事ではアカウントを作った次のステップとしてぜひご覧いただきたい新作ハンズオン「アカウント作成後すぐやるセキュリティ対策」ハンズオンを紹介します。「不正な操作/動作を継続的にモニタリングする方法は？」「コストレポートってどうやって設定すればいいの？」といったアカウント開設直後にまずは抑えておきたい考え方とやっておきたい設定についてご案内します。また、記事の後半では「ハンズオンで躓いてしまったときはどうすればいい？」という方向けに、切り分けの方法も紹介しています。こちらもあわせてご覧いただければと思います。

AWS Hands-on for Beginners とは？

AWS Hands-on for Beginners は、動画にそって実際に手を動かしながら AWS サービスについて学んでいただく無償のコンテンツです。名前の通り、初めて AWS サービスをご利用される方向けの内容ですので、学習の最初のステップとしてご活用いただけます。オンデマンド形式での配信となるので、移動時間などのスキマ時間での学習もできますし、分かりにくい部分を巻き戻して何度でもご覧いただくことができます。

[New] “アカウント作成後すぐやるセキュリティ対策” 編を公開しました

4/20(月) に AWS Hands-on for Beginners “アカウント作成後すぐやるセキュリティ対策” 編を公開しました。こちらのシリーズは、テクニカルソリューションアーキテクトの大松が担当しています。

さて皆様、AWS アカウントを作成したあとまず何をしますか？何をしましたか？

「サーバーを立てて、ミドルウェアを入れて、アプリをデプロイします！」
分かります。動くものを早く公開したいですよね。

「この間のハンズオンでｘｘというサービスを知ったので、もう一度使ってみようかと！楽しみです！」
ありがとうございます。復習大事ですよね。

でもちょっと待ってください！その前にセキュリティ面で、最初に抑えておきたい考え方と検討していただきたい設定がございます。前回の「はじめの一歩」ハンズオンでは、ルートユーザーではなく、IAM ユーザーを使って日々の作業を進めましょう、という話をしました。しかし、それ以外にも知っておいていただきたい対策がございます。このような AWS 上で何をしたいかによらず抑えておきたいセキュリティ対策を、「アカウント作成後すぐやるセキュリティ対策」ハンズオンで実際に手を動かしながら学んでいただけます。

例えば、セキュリティ関連のイベントを検出するための指標の例として、脅威インテリジェンスがあります。脅威インテリジェンスとは、脅威の防止や検知に利用できる情報の総称です。 AWS では Amazon GuardDuty という機械学習を⽤いたクラウドネイティブな脅威検知サービスがあり、AWSが持っている脅威インテリジェンスに基づいて潜在的な脅威を報告することができます。このハンズオンでは、実際に GuardDuty を有効化するだけでなく、サンプルの結果を確認しながら検知された情報をどのように読んでいくかを解説します。

また、お客様からよく頂く質問として「まずは予算の中で使い始めたいんだけど、月額○○円を超えたら警告したりできますか？」というものがあります。ビジネスを進めていく中で、コスト最適化していくことはとても大切だと思います。その一次情報として現状の利用料を抑えておきたい、というのはとてもよい考えです。

同時に、コストを把握することはセキュリティ面でも非常に重要です。何かしら不正な操作をされてしまった場合、それが普段よりも高い請求になって現れます。もし、コストレポートをしっかり把握しておけば、不正な操作の早期の発見に繋げることができます。ハンズオンでは、このコストレポートの設定方法も実際に行っていただけます。

「アカウント作成後すぐやるセキュリティ対策」ハンズオンでは本記事でご紹介した機能/サービス以外にも、AWS CloudTrail、AWS Config、AWS Trusted Advisor といったサービスを利用します。すぐにやるべきセキュリティ対策を手を動かしながら学ぶことができ、セキュリティはじめの一歩にもってこいの内容だと考えています。ハンズオンは以下のリンクから今すぐご視聴いただけます。ぜひご覧ください！

AWS Hands-on for Beginners Security #1 “アカウント作成後すぐやるセキュリティ対策” 申し込みページ

「ハンズオンで躓いてしまったらどうする？」- 切り分け Tips の紹介

さて、冒頭で「はじめの一歩」ハンズオンを多くの方にご視聴いただいている、という話を書きました。季節柄 “今年度は AWS を使っていくぞ！”、“新しいプロジェクトで AWS を使うのでその準備を” といった方がこの時期増えているのかなと予想しています。AWS を使い始めた方の後押しをしたいと思いスタートした企画ですので、もしそうであれば大変嬉しいです。

さて、実際に手を動かして学んでいると「あれ？エラーが出てしまった。」ということはありませんか？「動画通りに進めたつもりだったのですが..」といったご質問も頂戴することがあります。この記事の後半では、そんなときの切り分け Tips を紹介していきたいと思います。

落ち着いてエラーメッセージを読む

まずはここからです。AWS に限らず、エンジニアとしての基本動作ですね。例えば、Lambda 関数を作成している際に下記のようなエラーに出くわしたとします。

文字列がバッと出てきて焦る気持ちを抑え、しっかり文章を読みましょう。ここでは translate-function is not authorized to perform: translate:TranslateText" とあるので、慣れた方だと Lambda 関数に関連する IAM ロールに適切な権限が割り当てられてないからそれを確認しよう、と切り分けることができます。

そのエラーメッセージで検索する

“慣れた方だと” と書きましたが、初めて使うサービスだと勘所がないのは当然です。文章を読んでもピンとこない場合は、エラーメッセージで検索するのが次のアクションになるでしょうか。その際、エラーメッセージの切り取り方を工夫するとよいと思っていて、

translate-function is not authorized to perform: translate:TranslateText

と、全文で検索してしまうと translate-function は今回のハンズオンで命名した関数名なので、これは取り除いた方が期待する結果が返ってくるかなと思います。下のような文字列で検索するイメージです。

is not authorized to perform: translate:TranslateText

そして、translate:TranslateText の部分も今回利用した Action 固有のメッセージになるので、これも外してしまった方が一般的な例が返ってくるかなと思います。ただし、その Action 固有のエラーメッセージなのであれば、含めた方がより具体的なヒントが見つかるかもしれません。このあたりは試行錯誤ですね。

is not authorized to perform:

で調べると、こちらのページが（記事執筆時点では）最初にヒットするので、今回の悩みにぴったりなページにたどり着くことができました。このように急がば回れの形で、エラーメッセージを理解して切り分けていくことで、よりナレッジが溜まっていくと考えています。

周りの人を巻き込んで一緒にハンズオンをやってみる

そうは言っても解決できないこともありますよね。私も検証作業をするときに “ハマった” という表現をよく使いますが、トラブルシューティングできずに1-2時間経ってしまうこともよくあります。そんなときは同僚に相談するのですが、ハンズオンも同じように周りの方と一緒にやると相談できてよいのではないでしょうか。

今はオフラインで集まるのは難しいと思いますが、AWS Hands-on for Beginners シリーズはオンデマンド配信をしているので、リモートでも一緒に進めやすいのではないかと考えています。もし “ハマって” しまったときは、スクリーンをシェアしながら一緒に切り分けを進めていくのがおすすめです。ペアデバッグ、モブデバッグという形で、問題の解決だけでなく、“どのように問題を切り分けていくのか” を学ぶいい機会になると思います。

チームや会社でオンデマンドハンズオンを活用していただくアイデアについては、1月に公開した『サーバーレス第2弾 AWS SAM 編とオススメ学習方法を紹介します！』という記事でも紹介しています。ぜひ参考にしていただければと思います。

オンラインもくもく会に参加する

“周りの人を巻き込む” と書きましたが、気軽に質問できる方が周りにいなかったり、エキスパートに質問できる環境がほしいなぁ、という方もいらっしゃるかと思います。そのような方向けに AWS の SA が企画しているオンラインもくもく会を紹介したいと思います。

幾つかの形態で開催しているのですが、最近ですと 4/22(水) に『さぁ！サーバーレスを始めよう！サーバーレスハンズオンもくもく会』というイベントを開催しました。このイベントのアジェンダは下記の通りです。

3時間がっつり枠を取って皆様のペースでハンズオンを進めていただく
裏で SA が待機しており、いつでもチャットで質問していただける
ハンズオンの前後30分は、SA からサーバーレスに関するプレゼンセッションをご用意

Basic な内容のインプット → ハンズオンでアウトプット → Advanced な内容のインプットという流れで、半日でサーバーレスの知見を一気に獲得していただこうという狙いです。「基本から応用までバランスよく学べた」「ハンズオンでより理解を深められた」といったポジティブなご感想を頂戴しております。

また、パートナー様向けのご案内にはなるのですが、サーバーレスに限定しないハンズオンもくもく会も開催しています。直近だと4/17(金) と 4/24(金)に『AWSベーシックオンラインハンズオントレーニング』を開催しました。こちらのイベントは、ハンズオンのもくもくに特化した内容で、当日限定で使えるハンズオン用の AWS アカウントをお貸し出しする点が特徴です。具体的な参加条件は、開催回によって変わる予定とのことなので、適宜 APN ブログをご確認いただければと思います。

どちらのイベントも、5月以降も継続して開催できればと考えています。ぜひ学びの場としてご活用ください。

まとめ

今月の AWS Hands-on for Beginners シリーズのアップデート「アカウント作成後すぐやるセキュリティ対策」ハンズオンの紹介と、躓いてしまったときの切り分け Tips を紹介しました。プロダクト開発をされている皆様の背中を押せるようなコンテンツを今後も作っていきたいと考えていますので、「こういうテーマのハンズオンをやりたい！」「こういうオンラインイベントできます？」といったご要望もぜひ頂ければと思います。それでは、ハンズオンをお楽しみくださいー！

コンテンツ作成者について

大松宏之 (Hiroyuki Omatsu) @_daimatsu_

ネットワークとセキュリティに愛のある AWS のソリューションアーキテクトです。業種業態や技術領域を問わず、様々なお客様の AWS 活用支援を担当しています。好きなサービスは、AWS Direct Connect と Amazon GuardDuty です。最近リモートワークのために 42.5 インチモニタを買って机に置いたんですが圧がすごいです。

このブログの著者

金澤圭 (Kei Kanazawa) @ketancho

サーバーレスが好きなテクニカルソリューションアーキテクト。業種業界問わず、お客様のプロダクト開発をサポートさせていただいています。好きなサービスは AWS Lambda と AWS Amplify で、好きな休日の過ごし方は娘ふたりと川の字になって昼寝です。

Amazon Web Services ブログ