7 สิ่งที่ควรทำหลังสร้าง AWS Account
หากพูดถึงผู้ให้บริการ Cloud Services ไม่มีใครไม่รู้จัก Amazon Web Service หรือ AWS หากคุณกำลังจะเริ่มต้นใช้งาน AWS หรือมี account อยู่แล้วบทความนี้เหมาะกับคุณอย่างยิ่ง เพราะนี่เป็นเสมือน checklist เริ่มต้นที่ช่วยให้การใช้ชีวิตบนโลกของ AWS ปลอดภัย และ สะดวกมากยิ่งขึ้น
เรามาเริ่มต้นกันเลยสำหรับ 7 สิ่งที่ควรทำหลังจากสร้าง AWS Account…
1. Activate MFA on your root account
root account หรือ email และ password ที่เราใช้ในการสร้าง AWS account เปรียบเสมือนกุญแจผีที่มีสิทธิใช้งานบริการทุกอย่างบน account ซึ่งแน่นอนเป็นสิ่งที่สำคัญที่สุดในชีวิต
MFA หรือ Multi Factor Authentication เนื่องจากแค่ password อย่างเดียวมันไม่ปลอดภัยเพียงพอ ถึงแม้ว่าเราจะตั้ง password เอาไว้ซับซ้อนมากแค่ไหนก็ตาม ดังนั้นเราจึงจำเป็นต้องใช้ factor อื่นๆมาช่วงเพิ่มความปลอดภัย เหมือนในหนังสายลับที่เวลาจะดึงข้อมูลที่สำคัญมักจะต้องใช้ password การสแกนม่านตา สแกนลายนิ้วมือ วิเคราะห์เสียง และอื่นๆในการเข้าถึงเป็นต้น
How to activate MFA on root account
2. Stop using root account
Root account ก็เหมือนกุญแจผี เราจึงไม่ควรนำกุญแจผีมาใช้สุ่มสี่สุ่มห้า AWS จึงแนะนำว่า ให้เก็บ root account ไว้ในที่ที่ปลอดภัยเท่านั้น และไม่ควรนำมาใช้ในการสร้าง service ทั่วไป
เราควรใช้ root account เมื่อจำเป็นเท่านั้น เช่น กรณีที่ IAM user ทั้งหมดใช้งานไม่ได้, ต้องการเปลี่ยน AWS Support Plan, ต้องการเปิด case เรื่องการ billing เป็นต้น
3. Create IAM user
IAM user คือ user ที่สร้างให้กับผู้ใช้งานต่างๆ ไม่ว่าจะเป็น Administrators, Developers, SAs และอื่นๆ การสร้าง IAM user ควรที่จะให้สิทธิให้เพราะสมกับหน้าที่ของผู้ใช้งาน และตาม practice ของ AWS ระบุว่า ควรให้สิทธิที่น้อยที่สุดเท่าที่เป็นไปได้ และไม่ควรให้สิทธิ full access สำหรับใครก็ตาม (ถึงแม้จะเป็น admin)
การตั้งค่า password policy ของ IAM user ก็ควรตั้งให้มีความซับซ้อนเพียงพอ เช่น มีความยาวเพียงพอ มีการบังคับให้ใช้อักขระตัวเล็ก ตัวใหญ่ ตัวเลข อักขระพิเศษ และบังคับให้เปลี่ยน password สม่ำเสมอเป็นต้น
IAM user ก็ควรตั้งค่า MFA เช่นเดียวกันเพื่อความปลอดภัย
IAM user สามารถเลือก type ในการเข้าถึงได้ 2 ประเภทดังนี้
i. Programmatic access คือการสร้าง access key และ secret key ที่ใช้สำหรับการ programing เช่นการใช้งาน AWS API, CLI, SDK เป็นต้น
ii. AWS Management Console access คือการสร้าง username และ password สำหรับการใช้งานผ่าน AWS Management Console (หรือหน้าเว็บนั่นเอง)
อย่าลืมว่า ควรให้สิทธิที่น้อยที่สุดเท่าที่เป็นไปได้ ใครไม่ต้องใช้ผ่าน programing ก็ไม่ควรสร้าง programmatic access ให้เป็นต้น
4. Change account alias
ในกรณีที่เราใช้งาน IAM user ในการเข้าใช้งานผ่าน AWS Management Console เราต้องระบุ account id ที่เราต้องการเข้าถึง ซึ่งแน่นอนเลขสิบกว่าหลักใครจะไปจำได้ ขนาดเลขบัตรประชาชนเรายังจำไม่ได้เลย เพื่อความง่ายเราจึงแนะนำให้เปลี่ยนเป็นชื่อที่เราจำได้จะดีกว่า
5. Enable CloudTrail
Cloudtrail เป็น service ที่เก็บ log การใช้งาน AWS ทั้งหมด ไม่ว่าจะเป็นการใช้งานผ่าน AWS Management Console, SDK, CLI และเครื่องมืออื่นๆ ซึ่งเป็นประโยชน์มากในการใช้สำหรับการตรวจสอบในอนาคต เช่น รันระบบไปแล้ววันดีคืนดีมีคนมา terminate เครื่องเรา เราก็สามารถตรวจสอบ log จาก cloudtrail ได้ เป็นต้น
6. Create billing alarm
ตามที่ทราบกันดีกว่าการใช้งาน Cloud Service เราใช้เท่าไหร่ เราก็ต้องจ่ายเงินเท่านั้น และสำหรับคนที่มีงบจำกัด เราก็สามารถตั้งค่าให้ระบบแจ้งเตือนเราเมื่อการใช้งานใกล้เกิดงบที่กำหนดไว้ได้
7. Start your project
จากทั้งหมดที่ตั้งค่ากันมา ยังไม่เกี่ยวข้องกับ project ของเราเลย แล้วเรารออะไรล่ะ
เริ่มใช้งานกันได้เลยจ้า ลุย!!!
