フォーム読み込み中
コンソールのセキュリティ強化Tips3選【Alibaba Cloudのサポートエンジニアだから分かること】
クラウドエンジニア
結城 翔斗
オンプレミス企業でテクニカルサポート、プロジェクトマネージャーの経験を経て2020年にソフトバンク株式会社に入社し、Alibaba Cloudのプロダクトに関するテクニカルサポート業務に従事。
2024年3月26日掲載
ソフトバンクの結城です。
Alibaba Cloudテクニカルサポートサービスのサポートエンジニアとして日々、お客様からのお問い合わせ対応を行っております。その中でAlibaba Cloudコンソールに対してのセキュリティ強化方法についてよくお問い合わせをいただきます。
今回は、Alibaba Cloudコンソールのセキュリティ強化の方法、サポートエンジニアのナレッジについて紹介します。
Alibaba Cloudコンソールに対する2要素認証
Alibaba Cloudでリソースを作成 / 削除、設定変更等を行う際には、基本的にAlibaba Cloudコンソール(GUI)操作で行うことが多いと思います。Alibaba Cloudコンソール操作を行う前には、まずAlibaba Cloudコンソールのログイン認証を行う必要があります。その際は、メールアドレス + パスワード認証でログイン認証を行うことが一般的だと思います。
しかし、メールアドレス + パスワード認証のみだと、フィッシング攻撃や意図しないログイン情報の流出があった場合に、ログイン情報を得たユーザがAlibaba Cloud環境にログイン出来てしまいます。その結果、保有リソースに対してリリース操作や、停止操作等のビジネス影響を与える問題が発生する可能性が考えられます。
この問題を防ぐため、Alibaba Cloudコンソールへのログイン認証で、2要素認証の設定をすることをお勧めします。Alibaba Cloudでは、コンソールログインに対してSMS認証とTOTP認証(認証アプリでの認証)の2種類の2要素認証が用意されています。
なお、RAMユーザについては、TOTP認証のみがサポートされており、SMS認証に対応していません。
2段階認証設定手順
① SMS認証
メールアドレス + パスワード認証後にSMS認証を行います。
遷移後、自動的に登録した電話番号宛にSMSが送信されるのではなく、「Get code」をクリックしないと登録した電話番号宛にSMSが送信されませんのでご注意ください。
② TOTP認証
メールアドレス + パスワード認証後にTOTPを行います。ワンタイムパスワードは、Google Authenticator(別アプリ)に登録したアカウントのワンタイムパスワードを入力します。
弊社のテクニカルサポートサービスに、認証用のSMSが届かないといったお問い合わせが過去、数件ありました。その度に原因について調査を行いましたが、原因が特定できず自然解消するケースがほとんどでした。このため、可能であれば動作が安定しているTOTP認証を利用することをお勧めします。
Alibaba Cloudコンソール全体へのアクセス制限
Alibaba Cloudのコンソールにログインするアカウントに対して、Login Mask機能を使うことによって接続元IPアドレスの制限を行うことが可能です。
Login Maskで許可されたIPが1つであると、許可されたIPが利用できなくなった際にAlibaba Cloudコンソールにログインが出来なくなるので、バックアップ用のIPアドレスを複数登録しておくことをお勧めします。
なお、メインアカウントでLogin Mask機能を使ってIP制限を行った場合、適用範囲はRAMアカウントにも適用されます。なお、RAMアカウントでもLogin Maskの設定ができますが、その場合はメインアカウントに制限は適用されません。RAMアカウントでの設定方法は公式ドキュメントに手順が記載されていますが、メインアカウントでのLogin Mask設定方法は公式ドキュメントに記載がないため以下、手順を紹介します。
<メインアカウントでの設定方法>
1 ) Alibaba Cloudコンソールにメインアカウントでログインします。
2 ) 画面の右上、ユーザアイコンクリックします。
3 ) 左ペイン「Security Settings」をクリックします。
4 ) Login Maskを見つけ、その横の「set」をクリックします。
5 ) Alibaba Cloudコンソールにログインを許可するIPアドレスを入力します。
6 ) 「Save」をクリックし、設定を保存します。
特定のプロダクトコンソールへのアクセス制限
各プロダクトのコンソールアクセスに対して、特定のIPアドレスからのみ操作できるよう設定を行うことができます。
特定の接続元IPアドレスからアクセスできるような状態にすることによって、アクセス元を限定し、セキュリティレベルを高めることができます。しかしながら、この設定はRAMアカウントのみ設定が可能で、メインアカウントでは設定を行うことができません。設定方法は以降で説明します。
設定方法
1 ) 権限があるユーザでRAMコンソールにログインします。
2 )「Polices」を選択し、「Create Policy」を選択します。
3 ) 「JSON」を選択し、IP制限ポリシーを作成します。
※今回は特定のIPからのみECSを操作可能なポリシーを紹介します。
{ "Statement": [ { "Action": "ecs*", "Effect": "Allow", "Resource": "*", "Condition": { "IpAddress": { "acs:SourceIp": [ "<許可するIPを入力>" ] } } } ], "Version": "1" } |
4 ) ポリシー作成後、権限を付与したいRAMアカウントを探して、RAMアカウント名をクリックします。
5 ) 「Permissions」のタブをクリックし、「Grant Permission」をクリックします。
6 ) 作成したカスタムポリシーを選択し、対象のRAMアカウントに権限付与します。
7 ) 権限付与がされたか確認します。
権限の設定は以上となります。次に動作確認を行います。
動作確認
1 ) 許可されたIPからECS環境にアクセスします。アクセスしてみると、ECSコンソールにアクセスができ、保有しているリソースを確認できます。
2 ) 次に許可されていないIPアドレスから同じアカウントを使ってECSコンソールにアクセスしてみます。アクセスしてみるとECSコンソールにアクセスができますが、保有しているリソースが表示されません。この動作は設定したポリシーが期待する動作であるため、ポリシーが正しく設定されていることが分かります。
さいごに
本記事ではWebコンソールに関する3つのセキュリティ強化Tipsを紹介しました。
- ログイン認証は、メールアドレス + パスワード認証のみではなく、2要素認証を設定することをお勧めします。
- Login Mask設定をつかうことで、特定の接続元IPからのみコンソールにアクセス許可させることが可能です。
- 特定のプロダクトのみ、特定のIPアドレスからの接続を許可したい場合は、RAMアカウントを用意し、接続元IPアドレスを限定するRAMポリシーを適用することでセキュリティ強化が可能です。
コンソールログイン認証のセキュリティを高め、安全で安心したクラウド環境が利用できるよう、本記事をご参考にいただければ幸いです
関連サービス
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
