はじめに
転職前の会社だとインフラ周りの開発に携わることが出来なかったため、現在の会社に転職しました。
面接過程でもその話は何度も質問していて経験できるということで転職を決めたのに、実際に入って見ると「今はインフラ・バックエンドの開発要件はない」とのこと・・・!(おいおい!!)
しかし!現在の会社のインフラ全般を構築し、インフラエンジニアとして独立した師匠に弟子入りをし、1から教えてもらえることになったのでその内容を備忘録として残します。
(この記事を書いているちょうど今、バックエンドとインフラでの新規開発要件がきたので業務+勉強でハードな毎日です・・・)
私のAWSのレベル感としては、静的Webサイトのホスティング・WPを使用したインフラ構築、資格はAWS Cloud Practitionerは保有している程度(=超初心者)です。
今回やりたいこと
- 既存であるAWSのリソースに影響が出ないよう、勉強用の組織(AWSアカウント・IAMユーザー×3)を作る
- 請求は既存のアカウントにまとめる
概要
師匠からこれから課題を色々出す前作業として↑をやっておいてほしいと指示があったんですが、結論全然できませんでした!笑
理由としては私は個人レベルでテキトーにAWSを触っていただけで、資格取得の勉強はしたものの自分の身には何にもなってなかったんだと多います・・・
やっぱり個人レベルと業務レベルとでは違うなぁ・・・と痛感しました。。。
AWS Organization
AWS Organizationsとは、複数のAWSアカウントを一元管理できるAWSのサービスです。複数のAWSアカウントをグループ化し、そのグループごとに共通のポリシー(して良いこと、悪いこと)を設定することができます。
AWSアカウント
1組織に1つあるすべてのリソースやサービスにアクセスすることが可能な強力なルート権限を持ったアカウント。通常は使用せず、別途IAMユーザーを作成して運用することが推奨されている。AWSアカウントが支払い情報を持つことができるので、別請求に分けることももちろん可能です。
(私は1組織に複数のAWSアカウントを作ってしまったことにより、うまく紐付けることができずに苦戦しました・・・)
IAMユーザー
IAMユーザーとはAWSアカウントによって生成されるユーザー。複数作成することが可能で、各IAMユーザに対してリソースのアクセス権を割り当て(これをIAMポリシーと呼ぶ)、業務や管理はIAMユーザーで行うことが推奨されている。
詳しくはこちら▼
AWS Organizationsとは?その仕組みと実現できること、ユースケースを解説
AWS アカウント、IAM ユーザー、IAM グループ、IAM ロールの違い
手順
既存のAWSアカウントへログインし、AWS Organizationsへ遷移し、「組織を作成する」をクリックする
正常にAWS組織が作成されると、Root配下に既存AWSアカウントが管理アカウントとして表示される
確認メールが送信されているので「Verify your email address」をクリックする
クリックしたら、自動でAWSのページが開きます。
「Eメールアドレスは正常に確認されました。」が出ていたら準備OK!
「AWSアカウントを追加」をクリックする
AWSアカウントを追加するときに、
①AWSを新規で作る
②既存のアカウントを招待する
どちらか選択できます。
②の場合だとAWSアカウントを作成するときにクレジット情報の登録が必要になってくるので、私みたいに請求をまとめたい人は①を選択する方がいいと思います。
今回は①の流れを説明します。
AWSアカウント名・アカウント所有者の E メールアドレスは任意のものを入力、IAM ロール名も任意ですが今回はデフォルトのOrganizationAccountAccessRoleで進めます。
「AWSアカウントを作成」をクリック。
アカウント所有者の E メールアドレスにアカウント開設のメールが届いていたらOK!
AWSのサインインページから、ルートユーザーを選択し↑でメールが届いていたアドレスを入力し「次へ」をクリック
パスワードは作成した段階では決めていないので、「パスワードをお忘れですか?」からリセットする
メールが届くのでそこから自分の任意のものに再設定をし、ルートユーザーサインインで再設定したパスワードを入力するとログインできるので、これでAWSアカウントの作成完了!
この時点で請求は既存のAWSアカウントに紐づいているのでご安心ください。
ここからは新規AWSアカウントからIAMユーザーを作成して行きます。
IAMのページへ遷移し、サイドメニューのアクセス管理>ユーザーをクリック
ユーザー詳細の設定内の、ユーザー名の数分だけユーザーが作成されるので同じ権限のユーザーがたくさんいる場合には一気に作った方が楽です。
追加する場合は、「別のユーザーの追加」をクリックするとユーザー名の入力欄が追加されるので任意の数だけ使用してください。
AWSアクセスの種類を選択は好きなものを選んでください。
私は画像のような設定にし、「次のステップ:アクセス権限」をクリック
今回のIAMユーザーは全て同じグループで管理し、グループにポリシーを付与して使用します。
同じかたは「グループの作成」をクリック
グループ名とアタッチしたいポリシーを選択し、「グループの作成」をクリックし、元の画面の「次のステップ:タグ」をクリック
タグは特に設定しないので、そのまま「次のステップ」をクリック
確認し、問題なければ「ユーザーの作成」をクリック
ユーザーが作成されました。
使用する人への共有はCSVかメールで送ることが可能です。
実際の操作の時はCSVにしましたが、メールでも便利そう。文面コピーしてコミュニケーションツールで投げてもいいかも。
「閉じる」をクリックし、元の画面に今作成したIAMユーザー名が出ていたら完了です!
あとはCSVやメール等で共有したアカウントに、実際に使用するユーザーにログインしてもらえば大丈夫です。
こうやってまとめると簡単だなーとか思うのに、やってる時はだんだんよくわからなくなってきて???でしたw
つまづいたポイント
①AWSアカウントとIAMユーザーの違いがよくわかっていなかったこと!
②1組織には、1AWSアカウントのみ!
③既存AWSアカウントから新規AWSアカウントが作成できるのに、新規AWSアカウントを先に作成してしまいその時に不要なクレジット情報を登録してしまったこと!
実際の課題の前段階でつまづいてしまい師匠から若干引かれてしまいましたが、汚名払拭できるようにゆる〜く頑張ります!