AWS プロジェクト開始時
マスターアカウント作成
参考::
http://qiita.com/tcsh/items/b31c64029dfe3953ca9d
http://qiita.com/tcsh/items/6f297076935fa6a06044
-
『Sign In or Create an AWS Account』というページがでたら
- [ I am a new user. ] のラジオボタンをOn
- メールアドレスを入力
- [ Sign in using our secure server ] をクリック
- 既に、そのブラウザでAWSにログインした事があって履歴が残っている場合
- [ ルートアカウント認証情報を利用してサインイン ] をクリック
- 上の処理に戻る
- [ Login Credentials ]のページに移ったら
- 名前、E-mailアドレス、パスワードを入力する
- [ Contact Information ] では
- Full Name : hoge op
- Company Name :
- Country
- Address 1 : 4-16-13
- Address 2 : nishiazabu 28 mori building
- City : nishiazabu
- State/Province or Region : toukyouto minatoku
- Postal Code : 1060031
- Phone Number : 部門の電話番号( 後で本人確認のため電話がかかってきます )
- Security Check : 画像の文字を入力
- [ AWS Customer Agreement ] のチェックをOn
- 最後に[ Create Account and Continue ] をクリック
- [ Payment Information ]では
- Credit/Debit Card Number : カード番号
- クレジットカードの名前
- [ Identity Verification ]
- ボタンを押すとAWSから電話がかかってくる
- 受話器を取ると、ブラウザにPINコードが表示される
- 電話のプッシュダイヤルで、PINコードを押す(「#」などは不要だった)
- [ Continue to select your Support Plan ]をクリック
- Basicのままで[ Continue ]をクリック
-
アカウントのアクティベーションのため数分まつ
-
しばらくするとメールで通知がきた
[ Your AWS Account is Ready - Get Started Now ] という件名だった -
ルートアカウントでログインできるようになる
監査機能 CloudTrail を有効にする
- CloudTrail をクリック
- リージョンを「オレゴン」に変更
このリージョンの変更基準は
- サービスでの利用予定が無いリージョンであること
- S3のストレージコストが安いこと
2015年時点で - 米国スタンダード(us-east-1)
- オレゴン(us-west-2)
- アイルランド(eu-west-1)
- シンガポール(ap-southeast-1)
が安い
- [ 今すぐ始める ]をクリック
- [ 新しい S3 バケットを作成しますか? ]のラジオボタンを[ はい ]
- S3バケットのテキストフィールドに
- 組織名
- プロジェクト名
- -trail-global
といった名前をつける
- [ 有効化 ]をクリック
- ログファイルのプレフィックス : trail
- ログファイルの検証を有効化しますか? : はい
- ログファイル配信のたびに SNS通知を受け取りますか? : いいえ
- [ 有効化 ]をクリック
- もういちど [ CloudTrail ] => [ 設定 ]とクリック。
右上の[ ログ記録 ] がOnになっていれば設定完了
GUIログインの強度を上げる
AWSアカウント(root)へのMFA設定
- [ IAM ] => [ ルートアカウントの MFA をアクティブ化(あるいは Activate MFA on your root account) ] をクリック
- MFAデバイスの管理 で [仮想MFAデバイス]のラジオボタンを選択 => 次のステップ
- MFAデバイスの管理 [ 仮想 MFA デバイスをアクティブにするには、最初に AWS MFA と互換性のあるアプリケーションをユーザーのスマートフォン、PC、またはその他のデバイスにインストールする必要があります。 ] と表示されたら [ 次のステップ ] をクリック
- 仮想MFAデバイスを用意する。候補は
http://aws.amazon.com/jp/iam/details/mfa で確認できる - 2016/04時点では MFAデバイスの故障に対応できる『authy』が良いと思われる。
参考 http://dev.classmethod.jp/cloud/aws/authy/ - スマートフォンにアプリをインストールしたら、次へをクリック
- PCにQRコードが表示される
- このQRコードは画面キャプチャしておく、あとで端末を無くした時につかう
- QRコードを先ほど用意した仮想MFAデバイスのアプリで読み込む
- 数字が表示される。しばらくすると数字は更新される。
2回分、AWS管理コンソールのテキストフィールドに入力。[ 次へ ]をクリック
- [ MFA デバイスは正常に関連付けられました。]と表示される。[ 完了 ]をクリック
- 動作確認のため別のブラウザを立ち上げ、サインインする
- IAMアカウントではなく、ルートアカウントのログインにする
- 通常どおり
- [ I am a returning user and my password is: ] のラジオボタンをOn
- メールアドレス、パスワードを入力、[ Sign in using our secure server ]をクリック
- E-mailを入力
- [ Authentication Code :] に仮想MFAデバイスで表示されている数字を入力、[ Sign in using our secure server ]をクリック
パスワードポリシー設定
- IAMのダッシュボードの[ IAMパスワードポリシーの適用 ] をクリック
- [ パスワードポリシーの管理 ] をクリック
- パスワードポリシーを
- パスワードの最小長 : 8
- 少なくとも 1 つの大文字が必要 : On
- 少なくとも 1 つの小文字が必要 : On
- 少なくとも 1 つの数字が必要 : On
- 少なくとも 1 つの英数字以外の文字が必要 : On
- ユーザーにパスワードの変更を許可 :On(デフォルト)
とチェックボックスをOnにして[ パスワードポリシーの適用 ]
- IAMのダッシュボードを開き[ IAM パスワードポリシーの適用 ]がグリーンになっていることを確認