AWS未経験者がAWSアカウント作成&最速で設定したことの備忘録

はじめに

• AWSのお勉強をするため、まずはAWSアカウント作成&セキュリティ等の設定を行なったので、自分用の備忘録としてまとめました。

動作環境

• macOS Catalina 10.15.4

1. AWSアカウントの作成

• まずは、AWSアカウントの作成を行います。下記項目を入力して続行をクリックします。
  • Eメールアドレス
  • パスワード
  • パスワードの確認
  • AWSアカウント名
• 連絡先情報を設定します。下記項目を入力して続行をクリックします。
  • アカウントの種類
  • フルネーム
  • 電話番号
  • 住所
  • 規約同意
• サポートプランを選択します。ベーシックプラン（無料）をクリックします。
• 以上で、アカウント作成は、完了です。

2. AWSコンソールにログイン

• AWSコンソールにアクセスし、コンソールにサインインをクリックします。
• 作成したAWSアカウント情報を入力し、サインインをクリックします。
• ログインできればOKです。

3. セキュリティ設定

3-1. AWSアカウント（ルートアカウント）の保護

まずは、AWSアカウントへ2段階認証を導入します。

• IAMを開きます。
• ルートアカウントのMFAを有効化を選択して、MFAの管理をクリックします。
• 仮想MFAデバイスにチェックを入れて、続行をクリックします。
• QRコードの表示をクリックし、Google Authenticatorで読取ります。
• MFA（認証）コードを2回入力して、MFAの割り当てをクリックします。
• 閉じるをクリックします。
• 以上で、ルートアカウントの2段階認証設定は、完了です。

3-2. 管理用IAMユーザ作成

普段の作業では、ルートアカウントを使わないのが望ましいので、管理用のIAMユーザーを作成します。作成したIAMユーザーに対しても2段階認証を導入しておきます。

• IAMを開きます。
• 個々のIAMユーザの作成を選択して、ユーザの管理をクリックします。
• ユーザーを追加をクリックします。
• ユーザー詳細の設定を行います。下記項目を入力し、次のステップ：アクセス権限をクリックします。
  • ユーザー名
  • アクセスの種類
  • コンソールのパスワード
  • パスワードのリセット設定
• アクセス許可の設定を行います。ユーザーをグループに追加をONにし、グループの作成をクリックします。
• グループ名を入力し、AdministratorAccessにチェックを入れて、グループの作成をクリックします。
• 次のステップ：タグをクリックします。
• 次のステップ：確認をクリックします。
• 作成したユーザー詳細情報とアクセス権限情報が表示されます。ユーザーの作成をクリックします。
• 閉じるをクリックします。
• グリッド内に作成したユーザーが表示されるので、クリックします。
• 認証情報のMFAデバイスの割り当ての管理をクリックします。
• QRコードの表示をクリックし、Google Authenticatorで読取ります。
• MFA（認証）コードを2回入力してMFAの割り当てをクリックします。
• 閉じるをクリックします。
• 以上で、管理用IAMユーザー作成は、完了です。

3-3. IAMパスワードポリシーの適用

デフォルトの設定では、パスワードポリシーがかなり緩いので可能な範囲で縛りを入れます。

• IAMを開きます。
• IAMパスワードポリシーの適用を選択し、パスワードポリシーの管理をクリックします。
• パスワードポリシーを設定するをクリックします。
• パスワードポリシーの設定を行います。適宜、項目にチェックを入れて、変更の保存をクリックします。
• 以上で、パスワードポリシーの設定は、完了です。

3-4. セキュリティステータスの確認

• IAMを開きます。
• セキュリティステータスが全てグリーンになっていることを確認します。
• 以上で、（最低限の）セキュリティ設定は、完了です。

4. 請求情報の設定

請求情報に関わる設定は、ルートアカウントのみでしか変更できないので、ログアウトする前に設定しておきます。

4-1. 請求情報へのアクセス許可

• アカウント設定を開きます。
• 下にスクロールして、IAMユーザー/ロールによる請求情報へのアクセスの編集をクリックします。
• IAMアクセスのアクティブ化にチェックを入れて、更新をクリックします。
• 以上で、請求情報へのアクセス設定は、完了です。

4-2. 請求情報とコスト管理の設定

CloudWatchと連携して予期せぬ課金を検知できるようにしておきます。ついでに、PDFで請求書を貰えるように設定しておます。

• 請求情報とコスト管理の設定を開きます。
• 請求情報の設定を行います。下記項目にチェックを入れて、設定の保存をクリックします。
  • 電子メールでPDF版請求書を受け取る
  • 無料利用枠の使用のアラートの受信
  • 請求アラートを受け取る
• 以上で、請求情報とコスト管理の設定は、完了です。

4-3. CloudWatchで請求情報のアラームを作成

請求アラートを受け取るを設定すると、任意の金額に達したタイミングで通知する設定が可能になります。とりあえず、課金額が10ドルを超えた場合メール送信するよう設定してみました。

• CloudWatchを開きます。
• 左メニューからアラームの請求をクリックし、アラームの作成をクリックします。
• メトリクスの選択をクリックします。
• 請求をクリックし、概算合計請求額をクリックします。
• グリッド内のUSD/EstimatedChargesにチェックを入れて、メトリクスの選択をクリックします。
• アラート条件を設定します。下記項目を入力して、次へをクリックします。
  • Currency
  • 統計
  • 期間
  • しきい値の種類
  • 条件定義
  • しきい値定義
• 引き続き、アラート条件を設定します。下記項目を入力して、次へをクリックします。
  • アラーム状態トリガー
  • SNSトピックの選択
  • トピック名
  • 通知を受け取るEメールアドレス
• アラーム名と説明を入力し、次へをクリックします。
• 作成したアラート情報が表示されます。アラームの作成をクリックします。
• 設定したメールアドレスにAWS Notification - Subscription Confirmationのメールが届きます。Confirm subscriptionリンクがあるので、クリックします。
• Subscription confirmed!が表示されることを確認します。
• CloudWatchのアラームにおいて、一部サブスクリプションが確認待ちの状態ですのメッセージが表示されるので、SNSのサブスクリプションを表示をクリックします。
• Amazon SNSのサブスクリプションにおいて、認証したメールアドレスが表示されていることを確認します。
• CloudWatchのアラームにおいて、作成したアラーム状態が「OK」になっていることを確認します。
• 以上で、CloudWatch設定は、完了です。

4-3. コストエクスプローラーの有効化

コストエクスプローラーを有効にしておくと、課金情報をグラフィカルに表示できるようになります。

• コストエクスプローラーを開きます。
• コストエクスプローラーを有効化をクリックします。
• 以上で、コストエクスプローラーの設定は、完了です。

4-4. 支払い通貨設定

日本円で支払いができるようになります。また利用料表示もドルではなく、日本円になってくれます。

• アカウント設定を開きます。
• 下にスクロールして、お支払い通貨の設定の編集をクリックします。
• お支払い通貨の設定ウインドウが出てくるので、Acceputをクリックします。
• お支払通貨の選択でJPY-Japanese Yenを選択し、更新をクリックします。
• 以上で、支払い通貨設定は、完了です。

5. IAMユーザへの切替え

作成したIAMユーザでログインしてみます。

• IAMを開きます。
• コンソールのサインインリンクをコピーして、ルートアカウントからサインアウトします。
• コピーしたURLを開き、アカウントID、ユーザー名、パスワードを入力し、サインインをクリックします。
• Google Authenticatorで表示されたMFAコードを入力し、送信をクリックします。
• ログインできればOKです。
• 以上で、IAMユーザーのログイン設定は、完了です。

6. リージョン設定

東京リージョンに変更しておきます。

• 右上のリージョン一覧からアジアパシフィック (東京)をクリックします。
• 以上で、リージョン設定は、完了です。

7. 最後に

• 以上で、自分なりに調べたAWSで最初にやるべき（最低限の）ことをまとめましました。
• Amazon社が公開しているホワイトペーパーAWS セキュリティのベストプラクティス（日本語）を参考にしたので、ぜひ読んでみて下さい。