概要
別記事でAWSソリューションアーキテクト資格の勉強法の記事を投稿しているので、今回は資格取得に向けて利用してみたAWSサービスの具体的な利用方法について書いていこうと思います。
今回はいろいろなAWSサービスを利用するにあたり、突然予定外のAWS利用料金の請求が来ないように、不正利用被害にあわないようにするための30分でできる事前準備編です。
これから資格試験を受ける方の参考になればと思います。
勉強法は記事は以下を参照。
AWS初心者がAWS 認定ソリューションアーキテクト – アソシエイト資格試験に合格した時の勉強法
AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法
今回やること
- AWS利用料 予算設定
- まずは予定外の出費とならないよう予算を設定し予定以上のお金がかかる時はメールが来るようにします
- IAM MFA設定
- 不正利用にあわないようにIAMで最低限の設定をします
- AWS利用料金確認
- なぜか予定外の請求がきてしまった。。。時の利用料金の確認方法を知ります
全部無料でできます。AWSアカウントを作ったらまず最初にやってみてください。
作業時間
- AWS利用料 予算設定
- 5分
- IAM MFA設定
- 10分
- AWS利用料金確認
- 5分
合計20分!
何かに手間どった場合を見込んで合計30分!!
と、しています。
AWS利用料 予算設定
では、まずAWS利用料に関する予算設定をします。
これを行うことで毎月2ドルまで、とりあえず1ドル使用したら翌日メールで通知する。
といった設定が可能で、自身の作業/不正利用に関わらず予定外の出費になる前にメールにより気付くことができるようになります。
個人的にはAWSを利用する上でまず最初にやっておきたい設定です。
予算を作成をクリック。
(全体使用料金というのは私の方で事前設定している予算になります^^;初期画面では表示されていないはず)
今回は毎月のAWS使用料金に対する予算なのでコスト予算を選択し、予算を設定をクリック。
今回のような毎月〇ドルというシンプルな予算設定の場合、ほぼデフォルトのままで大丈夫で、名前(任意の名前でOK)と予算額に自分の決めた内容を入力します。以下の画面サンプルの設定で毎月固定で2ドルの予算設定がされたことになります。
予算額を入力したら、しきい値を設定するをクリック。
この画面でしきい値(予算の内いくらになったら通知するか)の設定を行います。
アラートのしきい値部分で今回は予算額の50%(つまり予算2ドルの内の50%の1ドル)をしきい値とし、Eメールの通知先を入力します。通知先にはAWS SNSを指定できるので事前にSNSに登録している場合は、こちらを利用するのが便利です。
その他予算アクションを追加から、予算超過した場合のアクション(EC2の停止やIAMポリシーの変更など)が設定可能ですが、今回はまずは最低限の予算超過の通知設定のみに留めておくので割愛します。
アラートのしきい値、通知先の設定が終わったら予算の確認をクリック。
以上、予算設定は完了です。
シンプルな予算設定なので5分程度で設定でき、予定外の請求が来る前にメール通知が来るので非常にオススメです!
これをしておけば新しいサービスを利用し始めた時の意図しない課金に気が付けます。以下参照^^;
AWS初心者が無料利用枠で個人運用していたら$0.64請求がきた話し
ちなみに資格試験対策としては、CloudWatchでも同等の通知設定ができるので、BudgetsとCloudWatchの2か所でできることを覚えておきましょう。
IAM MFA設定
次はIAM MFA設定になります。
最初に記載しておくと、IAMのベストプラクティスは以下に書かれています。
こちらに倣って実施するのがベストではありますが、とりあえず個人で利用する上で徹底すべきは以下の3つ思います。
1.普段の作業にAWSアカウントのルートユーザは使わない。IAMユーザを作成しIAMユーザで作業する
ルートユーザは全ての権限を持っているので普段の作業では使用せず、IAMユーザを作成してIAMユーザに必要な権限を割り当てて作業しましょう。そうすれば仮にIAMユーザのID/パスワード、認証情報が洩れても、簡単に利用停止にすることができます。
IAMユーザはコンソールから画面指示に従えば直感的に作成できると思いますが、公式ページの手順としては以下になります。
2.すべてのユーザでMFAアクセスを有効化する
これはそのままベストプラクティスの以下に該当します。
MFA(多要素認証)はいくつかやり方がありますが、スマホにアプリをインストールして仮想MFAデバイスとして利用する方法が簡単です。
以下のURL等を参考にするといくつかのAWS推奨アプリがあるのでいずれかをインストールします。(私は先頭のAuthyを利用)
あとは画面の指示通りにやれば簡単にできます。
まずはAWSコンソールのIAM ユーザー の 認証情報 -> MFAデバイスの割り当て から 管理 をクリック。
QRコードの表示をクリックするとMFA設定用のQRコードが表示されるので、スマホにインストールした仮想MFAデバイスアプリ(私の場合Authyを起動して「Add Account」ボタンを押す)からQRを読み込みます。
読み込んだ後、スマホ画面に表示された2つの連続する数字をMFAコード1、MFAコード2に入力し、MFAの割り当てをクリックすると設定完了です。
IAMユーザーだけではなく、AWSアカウントのルートユーザーへのMFAデバイスの割り当てを忘れずに設定しましょう。
アプリ1つで複数ユーザーのMFAが設定できます。
3.むやみに認証情報を払い出さない
上記のMFAアクセス設定にしたとしても該当ユーザが認証情報を払い出しており、それが悪用された場合は何の意味もありません。よくGitHubに上げてしまい不正利用に利用されるのがこれなので注意しましょう。
具体的にはIAM ユーザー の 認証情報 -> アクセスキー が該当します。
この情報はむやみに払い出さない。CLIとかを使用するために払い出した場合、漏れないように十分注意することが重要です。
(とりあえず、このサンプル画面のように払い出されていなければ洩れる心配がないので安心です。アクセスキーの作成から認証情報を払い出した場合は注意しましょう)
AWS利用料金確認
最後はAWS利用料金の確認方法です。
今までの手順を実施していれば突然予定外の高額請求になることはないと思いますが、突然AWSから利用料金の請求が来た!時のために、利用料金の詳細把握方法は理解しておく必要があります。
方法は簡単で、マイ請求ダッシュボードから行います。
画面右に表示される料金明細をクリック。
この表示内容は前日分まで表示されている印象です。
後は表示されたAWSの各サービスから確認したいサービスの左端の三角部分をクリックすると詳細が確認できます。
これを確認し何にいくら料金がかかっているか把握し対策を立てましょう。
このサンプル画面の場合、EC2の起動料金 Linux $0.18 + Windows $1.80、EBS利用料金**$7.17**、ElasticIP割り当てたけど使っていなかった料金**$11.22の合計$20.37**とわかります。(Linuxと比較するとWindows高いですね^^;)
EC2作成して必要な時だけ起動していた時のサンプルです。
これでEC2は実は停止していてもディスクやEIPを保持しておくことだけで料金がかかることに気が付けます。以下参照^^;
AWS初心者がEC2を最低限の利用料金で利用する ~EC2スナップショット作成・リカバリ手順~
まとめ
3点書きましたが、とりあえず1つ目の予算設定をやるだけでもAWSを利用する心理的なハードルが下がると思うのでこれだけでもまずやることをオススメします。
次回以降、本格的に資格取得に向けていくつか触ってみたAWSサービスについて記載していこうと思います!
資格取得に向けてAWSサービスを実際に利用してみるシリーズの投稿一覧
とりあえず30分でAWS利用料金の高額請求に備える~予算アラート設定・MFA・料金確認~(本記事)
AWS ECSでDocker環境を試してみる
Amazon Cognitoを使ってシンプルなログイン画面を作ってみる
AWS NATゲートウェイを使ってプライベートサブネットからインターネットにアクセスする
API GatewayをPrivateで作成してみる
AWSのAI(Rekognition/Polly/Transcribe/Comprehend/Translate/Textract)サービスを試してみる
AWS Lambda 同時実行数、エイリアス、環境変数とか実際の現場で使える機能を勉強してみる
AWS Lambda SAMとは?~AWS SAMを使ってPythonのLambdaプログラムを簡単に作成する~
Cloud9でAWS Amplifyの公式チュートリアルGetting startedをやってみる