#はじめに
最近UdemyでAWSの学習を始め、AWSアカウントを作成したのでDay1対応を実施しました。
備忘録として、以下に概要をまとめます。
#Day1対応とは
AWSアカウントを作ったらまずやったほうがいいと推奨されている設定
AWSに足を踏み込んだ者のはじめの一歩
基本的には"セキュリティ"と"請求"についての設定を実施していきます。
#やること
やることは以下の5つ
- MFA(他要素認証)の設定
- パスワードポリシーの設定
- IAMユーザの作成
- CloudTrailの有効化
- 請求アラームの有効化
##MFAの設定
まずは、MFAの設定を実施します。
※MFA = Multi Factor Authentication(他要素認証)
MFAとは、ログイン時にユーザ名・パスワード+αで認証を行う方式のことです。
詳細は割愛します。
AWSではユーザ名・パスワード+ワンタイムパスワードで認証を行います。
ワンタイムパスワードを発行するトークンとしていくつか選択肢がありますが、
Google Authenticatorというアプリを利用できます。
スマホから利用できるため、こちらを利用するのが一番手間が少ないです。
##パスワードポリシーの変更
AWSでは一つのアカウントの中に、IAMユーザというユーザを複数作成することができます。
IAMユーザ作成時のパスワードルールを設定します。
PCなどのパスワードルールと同様に、事前に用意されている条件の中から、
好きな条件を組み合わせてルールを作成できます。
##IAMユーザの作成
AWSアカウントを作成した直後は、ルートユーザという何でもできる権限を持ったユーザのみ存在しています。
ルートユーザは権限が強すぎて、意図しない重大な変更なども行えてしまうという危険性をはらんでいます。
そこで、IAMユーザを作成し適切な権限を割り当てることで、誤って重大な変更ができないように保険をかけます。
また、同じ権限を持ったユーザをたくさん作成する場合、それぞれに設定を加えるのは面倒なため、
グループというものを作成し、ユーザをグループに所属させます。
なお、グループはAWS側で用意してくれているものもあります。
Day1対応としては、管理者権限を持ったユーザを作成するため、
事前に用意されているAdministratorグループへIAMユーザを追加します。
##CloudTrailの有効化
CloudTrailとはログ管理サービスです。
各ユーザのログイン履歴や、自身の構築したAPIの利用履歴などが自動で監視・ログ取得されています。
初期設定では、ログは90日間で削除されてしまいます。
しかし、何かあったときに過去のログを参照することは多いと思います。
ログを長期保存したい場合、
保存先として、S3というストレージサービスかRDSというデータベースサービスを指定できます。
なお、CloudTrailは無料で使うことができます。
##請求アラームの有効化
AWSでは一定の請求額を超えた際にメール等で通知を飛ばす設定ができます。
「気づいたら高額な請求がされていた...」といったことを防ぐためにもこの設定は重要です。
請求アラームの有効化は"請求ダッシュボード"から行います。
また、IAMユーザでこの設定を実施する場合は、前もってIAMユーザによる請求情報へのアクセスを有効化しておく必要があります。(この設定はルートユーザで実施します。)
請求アラームの有効化は東京リージョンでは利用できません。
そこで、画面右上のリージョンをバージニア北部のなどに変更する必要があります。