はじめに
- AWSのお勉強をするため、まずはAWSアカウント作成&セキュリティ等の設定を行なったので、自分用の備忘録としてまとめました。
動作環境
- macOS Catalina 10.15.4
1. AWSアカウントの作成
- まずは、AWSアカウントの作成を行います。下記項目を入力して
続行をクリックします。Eメールアドレスパスワードパスワードの確認-
AWSアカウント名
- 連絡先情報を設定します。下記項目を入力して
続行をクリックします。アカウントの種類フルネーム電話番号住所-
規約同意
- サポートプランを選択します。
ベーシックプラン(無料)をクリックします。
- 以上で、アカウント作成は、完了です。
2. AWSコンソールにログイン
-
AWSコンソールにアクセスし、
コンソールにサインインをクリックします。
- 作成したAWSアカウント情報を入力し、
サインインをクリックします。
- ログインできればOKです。
3. セキュリティ設定
3-1. AWSアカウント(ルートアカウント)の保護
まずは、AWSアカウントへ2段階認証を導入します。
-
IAMを開きます。 -
ルートアカウントのMFAを有効化を選択して、MFAの管理をクリックします。
-
仮想MFAデバイスにチェックを入れて、続行をクリックします。
-
QRコードの表示をクリックし、Google Authenticatorで読取ります。 - MFA(認証)コードを2回入力して、
MFAの割り当てをクリックします。
-
閉じるをクリックします。
- 以上で、ルートアカウントの2段階認証設定は、完了です。
3-2. 管理用IAMユーザ作成
普段の作業では、ルートアカウントを使わないのが望ましいので、管理用のIAMユーザーを作成します。作成したIAMユーザーに対しても2段階認証を導入しておきます。
-
IAMを開きます。 -
個々のIAMユーザの作成を選択して、ユーザの管理をクリックします。
-
ユーザーを追加をクリックします。
-
ユーザー詳細の設定を行います。下記項目を入力し、次のステップ:アクセス権限をクリックします。ユーザー名アクセスの種類コンソールのパスワード-
パスワードのリセット設定
-
アクセス許可の設定を行います。ユーザーをグループに追加をONにし、グループの作成をクリックします。
-
グループ名を入力し、AdministratorAccessにチェックを入れて、グループの作成をクリックします。
-
次のステップ:タグをクリックします。 -
次のステップ:確認をクリックします。
- 作成した
ユーザー詳細情報とアクセス権限情報が表示されます。ユーザーの作成をクリックします。
-
閉じるをクリックします。
- グリッド内に作成したユーザーが表示されるので、クリックします。
-
認証情報のMFAデバイスの割り当ての管理をクリックします。
-
QRコードの表示をクリックし、Google Authenticatorで読取ります。 - MFA(認証)コードを2回入力して
MFAの割り当てをクリックします。 -
閉じるをクリックします。 - 以上で、管理用IAMユーザー作成は、完了です。
3-3. IAMパスワードポリシーの適用
デフォルトの設定では、パスワードポリシーがかなり緩いので可能な範囲で縛りを入れます。
-
IAMを開きます。 -
IAMパスワードポリシーの適用を選択し、パスワードポリシーの管理をクリックします。
-
パスワードポリシーを設定するをクリックします。
- パスワードポリシーの設定を行います。適宜、項目にチェックを入れて、
変更の保存をクリックします。
- 以上で、パスワードポリシーの設定は、完了です。
3-4. セキュリティステータスの確認
-
IAMを開きます。 -
セキュリティステータスが全てグリーンになっていることを確認します。
- 以上で、(最低限の)セキュリティ設定は、完了です。
4. 請求情報の設定
請求情報に関わる設定は、ルートアカウントのみでしか変更できないので、ログアウトする前に設定しておきます。
4-1. 請求情報へのアクセス許可
-
アカウント設定を開きます。 - 下にスクロールして、
IAMユーザー/ロールによる請求情報へのアクセスの編集をクリックします。
-
IAMアクセスのアクティブ化にチェックを入れて、更新をクリックします。
- 以上で、請求情報へのアクセス設定は、完了です。
4-2. 請求情報とコスト管理の設定
CloudWatchと連携して予期せぬ課金を検知できるようにしておきます。ついでに、PDFで請求書を貰えるように設定しておます。
-
請求情報とコスト管理の設定を開きます。 - 請求情報の設定を行います。下記項目にチェックを入れて、
設定の保存をクリックします。電子メールでPDF版請求書を受け取る無料利用枠の使用のアラートの受信-
請求アラートを受け取る
- 以上で、請求情報とコスト管理の設定は、完了です。
4-3. CloudWatchで請求情報のアラームを作成
請求アラートを受け取るを設定すると、任意の金額に達したタイミングで通知する設定が可能になります。とりあえず、課金額が10ドルを超えた場合メール送信するよう設定してみました。
-
CloudWatchを開きます。 - 左メニューから
アラームの請求をクリックし、アラームの作成をクリックします。
-
メトリクスの選択をクリックします。
-
請求をクリックし、概算合計請求額をクリックします。
- グリッド内の
USD/EstimatedChargesにチェックを入れて、メトリクスの選択をクリックします。
- アラート条件を設定します。下記項目を入力して、
次へをクリックします。Currency統計期間しきい値の種類条件定義-
しきい値定義
- 引き続き、アラート条件を設定します。下記項目を入力して、
次へをクリックします。アラーム状態トリガーSNSトピックの選択トピック名-
通知を受け取るEメールアドレス
- アラーム名と説明を入力し、
次へをクリックします。
- 作成したアラート情報が表示されます。
アラームの作成をクリックします。
- 設定したメールアドレスに
AWS Notification - Subscription Confirmationのメールが届きます。Confirm subscriptionリンクがあるので、クリックします。
-
Subscription confirmed!が表示されることを確認します。
-
CloudWatchのアラームにおいて、一部サブスクリプションが確認待ちの状態ですのメッセージが表示されるので、SNSのサブスクリプションを表示をクリックします。
-
Amazon SNSのサブスクリプションにおいて、認証したメールアドレスが表示されていることを確認します。
-
CloudWatchのアラームにおいて、作成したアラーム状態が「OK」になっていることを確認します。
- 以上で、CloudWatch設定は、完了です。
4-3. コストエクスプローラーの有効化
コストエクスプローラーを有効にしておくと、課金情報をグラフィカルに表示できるようになります。
-
コストエクスプローラーを開きます。 -
コストエクスプローラーを有効化をクリックします。
- 以上で、コストエクスプローラーの設定は、完了です。
4-4. 支払い通貨設定
日本円で支払いができるようになります。また利用料表示もドルではなく、日本円になってくれます。
-
アカウント設定を開きます。 - 下にスクロールして、
お支払い通貨の設定の編集をクリックします。
-
お支払い通貨の設定ウインドウが出てくるので、Acceputをクリックします。 -
お支払通貨の選択でJPY-Japanese Yenを選択し、更新をクリックします。
- 以上で、支払い通貨設定は、完了です。
5. IAMユーザへの切替え
作成したIAMユーザでログインしてみます。
-
IAMを開きます。 -
コンソールのサインインリンクをコピーして、ルートアカウントからサインアウトします。
- コピーしたURLを開き、
アカウントID、ユーザー名、パスワードを入力し、サインインをクリックします。
-
Google Authenticatorで表示されたMFAコードを入力し、送信をクリックします。
- ログインできればOKです。
- 以上で、IAMユーザーのログイン設定は、完了です。
6. リージョン設定
東京リージョンに変更しておきます。
- 右上の
リージョン一覧からアジアパシフィック (東京)をクリックします。
- 以上で、リージョン設定は、完了です。
7. 最後に
- 以上で、自分なりに調べた
AWSで最初にやるべき(最低限の)ことをまとめましました。 - Amazon社が公開しているホワイトペーパーAWS セキュリティのベストプラクティス(日本語)を参考にしたので、ぜひ読んでみて下さい。