本記事は、①アカウント使用時に設定した内容と、②コスト管理において気を付けた方が良いことをまとめたものになります。
特別なことは記載しておりませんが、AWSアカウントを使用するときに何を意識したら良いかわからないとき、この記事が少しでも参考になれば幸いです。
①初期設定
ルートユーザーでの作業
1.ルートユーザーのMFAの有効化
2.ルートユーザーのアクセスキーの削除
3.アカウントパスワードポリシーの設定
アカウントパスワードポリシーでは、基本的には全ての項目にチェックを入れて問題ないでしょう。
ただ、有効期限を設ける場合は事前に周知しておきましょう。
パスワードの有効期限を設定した場合、有効期限は直ちに適用されます。たとえば、パスワードの有効期限を 90 日に設定したとします。この場合、既存のパスワードが作成されてから 90 日を超える期間が経過しているすべての IAM ユーザーのパスワードが失効します。これらのユーザーは、次回サインインするときにパスワードを変更する必要があります。
IAMユーザーでの作業
IAMユーザーのMFA有効化
設定しない理由がないです。
以下に「MFA」を設定しない場合と設定した場合とでどのような違いがあるのか簡単に記載します。
- MFA設定なし:アカウントへのログイン方法は「パスワード」のみ。パスワードが盗まれた場合、盗んだユーザーがログインできてしまう。また、パスワードを再利用している可能性のある複数のアカウントにアクセスできるようになる可能性がある。
- MFA設定あり:アカウントへのログイン方法は「パスワード」+「MFA」。パスワードが盗まれた場合でも、「MFA」が、ログインを防ぐ追加のセキュリティレイヤーとして機能するため、盗んだユーザーはログインできない。
AWS Cost Explorer の有効化
有効化すると、コストと使用状況を確認できます。
下記のとおりAWS Budgetsで請求アラートの設定はしていましたが、不安なので頻繁にCost Explorerでコストを確認していました。
AWS Budgetsを使った請求アラート
予算を設定してコストと使用状況を追跡し、しきい値を超えた場合に E メールまたは SNS 通知からアラートを受け取ることができます。
実際に設定したときはテンプレート(月次コスト予算)を使用しました。
通知タイミング(テンプレート「月次コスト予算」)
- 実際の支出が 85% に達したとき
- 実際の支出が 100% に達したとき
- 予測される支出が 100% に達すると想定されるとき
AWS CloudTrail の証跡の保存
誰がいつ何をしたか、操作履歴を記録します。
AWS Config の有効化
リソースがいつどのような状態に変化したか、変更履歴を記録します。
Amazon GuardDuty の有効化
アカウントをモニタリングし、セキュリティ調査結果を提供します。
②コスト管理で気を付けること
NAT ゲートウェイ
置いているだけで費用がかなりかかってしまいます。気をつけましょう。
1ヶ月だと7000円弱になります(2022/10時点)。
Elastic IP
下記条件を全て満たしていないと料金が発生します。下記条件を常に意識し、不要な場合はすぐにIP アドレスを解放しましょう。
- Elastic IP アドレスが EC2 インスタンスに関連付けられている
- Elastic IP アドレスに関連付けられているインスタンスが実行中である
- インスタンスには、1 つの Elastic IP アドレスしかアタッチされていない
- Elastic IP アドレスが、アタッチされているネットワークインターフェイスに関連付けられている
Amazon Elastic Block Store (EBS)
EC2にアタッチされていない間も料金が発生します。
Amazon Elastic Block Store (EBS) では、プロビジョニングした分だけお支払いいただきます。すべてのEBSボリュームタイプのボリュームストレージの料金は、プロビジョニングした容量 (GB/月) で決まり、お客様がそのストレージを解放するまで毎月料金が発生します。
スナップショット
既存の EC2 インスタンスの AMI を作成すると、そのインスタンスにアタッチされているすべてのボリュームのスナップショットが作成される訳ですが、AMI自体には料金がかからず、スナップショットに対しては料金が発生します。
そのため、AMIを登録解除するときは、EBS スナップショットを削除する作業も忘れず行いましょう。
クーポンの有効期限
以上、アカウント使用時に確認した方が良いことをまとめてみました。