転ばぬ先の杖という言葉があります。
AWSは手軽に、簡単にスタートできるのが売りではありますが、十分な情報の調査を行わなくてもできちゃうことが後々問題になってしまうことが有ります。そんなところをTrusted Advisorという機能が的確に指摘してくれます。
もともとTrusted AdvisorはAWSサポートのビジネス以上でのみ提供されていましたが、一部機能だけでは有りますが、ベーシック(無料)や開発者レベルでのサポートからでも提供されるようになりました。
今回、無料で利用可能になったのは 4つ
Security Groups
IAM Use
MFA on Root Account
ServiceLimit
Security Groups は、不必要に外部公開していないかを確認します。具体的には Windows RDPをどこからでも許可するSecurityGroupは Red扱いになります。
IAM Use は IAM使ってくださいというチェックです。Rootアカウントだけの運用はよろしくないので、IAMユーザーでログイン&作業しましょう。
MFA on Root Accountは Root Accountへのログインは MFA(Multi-Factor Authentication) を設定してくださいということです。最近の銀行などでハードウェアトークンとして、ワンタイムパスワードが時間ごとに更新されていくあれです。私はGoogle認証システムというアプリでソフトウェアトークンを使っています。
ServiceLimit は文字通り、機能制限です。AWSはアカウント後、そのままですと一部機能に制限がかかっています。理由としては、オペレーションミスによる課金や、スパムメールの温床となることを防ぐためです。この機能は非常にありがたいです。意外なところでは、EIPは5個までなど制限があるので、ここは要チェックです。
アドバイスに従い、変更を加えた後は、リロードしないと、更新しないようなので、ご注意。
特にServiceLimitは初めての方が陥りそうな落とし穴なので、確認しておいて損はなしです。Yellowが出ている時はTrusted Advisorのリンクから直リンで機能制限解除のページに飛びます、便利!
参考
http://aws.typepad.com/aws_japan/2014/08/trusted-advisor-console-basic.html