クラウドの怖い話と権限管理
最近GIGAZINEでこんな記事を読みました。
gigazine.net
自分は個人利用だし、使っているサービスも非公開ばかりですので高を括っていたところはあるのですが、真剣に怖くなりましたね。
そして今更ながらググってまずはAWSの権限とかアラートとかを少しきちんとしてみました。
- 主にやったこと
- ルートユーザの2段階認証
- IAMユーザの2段階認証
- Cloud Trail
- 管理者権限があるユーザがログインしたときのslack/メール通知
- 予算アラート
※それにあたっては大いにこの記事を参考にさせてもらいました!
dev.classmethod.jp
これでAWSは一安心、GCP(Google Cloud Platform)もやろうと思ったのですが個人の場合、GCPの権限管理は非常にやりづらい。
それは言うまでもなく、GoogleにログインしているアカウントがGCPのオーナーにもなっているためです。言い換えると、GCPに入るためにGoogleにログインすると、自動的にrootになってしまっている感じですね。
一番怖いのがマイニングのためにVMインスタンスをバンバン立てられることなので、インスタンス作成時にslack通知が来るようにCloud functionsを作るだけはしておきましたが...
GCPをやっている人がGoogleアカウント乗っ取られると冒頭の記事みたいなこともあっさり起こるよねって思うと、Googleアカウント周りのセキュリティはかなり高めにキープしておかないと危険だなと感じた話でした。
※じゃあGCP使わずにAWS一本でいけばいいというアドバイスもあると思うのですが、GCPには「e2-micro VMインスタンス1個無料(ただしリージョン限定)」があって、これは本当に魅力的というかGoogle様様という無料枠で、このためにGCP始めたと言っても過言ではない。笑