【Day 1】AWSアカウントを作ったら即実行!セキュリティとコストを守る「最初の3ステップ」
はじめに
Qiita アドベントカレンダー2025へようこそ!
今日のゴール: AWSアカウント作成直後にやるべき「最低限かつ必須」の初期設定を完了させること。
対象者: AWSアカウントを作ったばかりの人、ルートユーザーで作業している人。
なぜ初期設定が必要なのか?
リスク1: アカウント乗っ取り(ルートユーザーが漏洩すると全てを失う)。
リスク2: 意図しない高額請求(設定ミスや切り忘れによる「クラウド破産」)。
これら防ぐための「3種の神器」(MFA、IAM、Budgets)を設定します。
Step 1: ルートユーザーを封印せよ (MFA設定)
ルートユーザーとは: 全ての権限を持つ神アカウント。普段使いは厳禁。
MFA (多要素認証) の設定:
スマホアプリ(Google Authenticatorなど)やChrome拡張機能のAuthenticatorを用意。
コンソール右上のアカウント名 -> [セキュリティ認証情報] -> [MFA の割り当て] の流れをスクショ付きで解説。
[セキュリティ認証情報]を押下。
自分の認証情報の[MFAを割り当てる]を押下。
MFAデバイスを選択で[MFA device name]を入力し、[認証アプリケーション]を選択する。
デバイスの設定で[QRコードを表示]を押下し、スマホアプリやChrome拡張機能でQRコードを読み込む。
ルートアカウントでログインしている間にIAMユーザーでコストが確認できるように権限を変更しておきます。
コンソール右上のアカウント名 -> [アカウント]を押下。
画面下にスクロールしていくと、[IAMユーザーおよびロールによる請求情報へのアクセス]項目がありますので編集を押下。
[IAMアクセスをアクティブ化]にチェックを入れて更新を押下。
個人開発ではIAMユーザーで確認できる方が便利ですね。
ポイント: 「ルートユーザーでのログインは、緊急時と請求関連の操作のみにする」と明記。
Step 2: 作業用IAMユーザーの作成
ルートユーザーを使わない代わりに、管理者権限を持つユーザーを作成する。
IAMユーザーの作成手順:
IAMコンソール -> [ユーザー] -> [ユーザーの作成]。
IAMコンソールを開き、[ユーザー]を押下。
[ユーザーの作成]を押下しユーザーの作成をする。
ユーザーの詳細を指定で任意の[ユーザー名]と[カスタムパスワード]を設定する。
[AWSマネジメントコンソールへのアクセスを提供する]にチェックを入れることでパスワードの設定項目が表示されます。
※実際のプロジェクトでは、[自動生成されたパスワード]で管理者がアカウントを発行し、[ユーザーは次回のサインイン時に新しいパスワードを作成する必要があります]で初回ログイン後に任意のパスワードに変更することが多いと思います。
許可を設定で[ポリシーを直接アタッチする]を選択して[AdministratorAccess]にチェックを入れます。
※アドミン権限以外でも問題ないですが、個人的には最初はアドミン権限で一通り操作できる方が個人開発などは行いやすいです。
IAMユーザー作成後は、MFA認証を必ず設定しましょう。
ユーザーのセキュリティ認証タブからMFA設定ができます。
Step 3: 恐怖の「クラウド破産」を防ぐ (AWS Budgets)
気づかないうちにリソースを起動しっぱなしにしてしまうミスを防ぐ。
AWS Budgets の設定手順:
請求ダッシュボード -> [予算] -> [予算の作成]。
テンプレート「ゼロスペンド予算」または「月次コスト予算」を選択。
今回は「月次コスト予算」を選択し、「10ドルを超えたらメール通知」などの設定を入れます。
Cost Explorer:
日々のコストを可視化する
