AWSアカウント作成/ 初めてのAWS忘備録①

アカウント作成する前に

AWSには、異なる2つのユーザタイプがある。

・AWSアカウント作成時に生成されるルートユーザー（アカウント所有者）

・ルートユーザまたはアカウントのIAM管理者によって作成されるIAMユーザー

ルートユーザーとは

AWSアカウントを作成した時に用意したEメールアドレスとパスワードを使用してサインインできるユーザーのこと。アカウント所有者なので、AWS上のサービスほぼ全てを制限なく実行が可能。

IAMとは

IAMユーザーを理解する前に、IAMって？から理解した方がわかりやすい。

IAMとは「Identity and Access Management」の略で、その名のとおりIDとアクセス権を管理する機能。
IAMを使用すれば、誰がどのサービスにアクセスできるのかを、許可または拒否することができる。
全ての人が全てのサービスやデータに対してアクセス権を持つというのは安全ではないので、必要な人に、必要最低限の権限のみを付与することが推奨されている。

管理機能が必要な理由として、アカウント１つでも使うことはできるが、システムの種類（メインシステム・サブシステムなど）や環境の用途（開発用・本番用など）に応じてアカウントを分けた方が、セキュリティや運用面におけるメリットが高いから。

IAMユーザー／IAMポリシー／IAMロール

IAMユーザー

IAMユーザーとは人に与えられるIDのこと。ユーザー名とパスワードが付与され、AWSアカウントにログインする際に必要となる。

１つのAWSアカウントの中に複数のユーザーを作ることができ、従業員１人ずつ個別のIAMユーザーを作成することが推奨されている。

新しく作ったIAMユーザーには、デフォルトでは何のアクセス許可も与えられていない。後述のIAMポリシーを割り当てることによって、必要なアクセス許可を付与することができる。

IAMポリシー

IAMポリシーとは、「何に対して」「どのような操作を」「できるか（できないか）」の権限を記述したドキュメントで、許可証のようなもの。これをIAMユーザーや後述のIAMロールに割り当てることで、「誰が」その権限を持つのかといったことを決定する。

ポリシーの例
AdministratorAccess：管理者権限で全部許可
ReadOnlyAccess：見るだけ許可
AmazonS3ReadOnlyAccess：S3を見るだけ許可

IAMロール

IAMロールとは、役割のようなもの。前述のポリシー（権限）を束ねることができ、それを代表する概念的な名前を付けることができる。

例えば、コーヒーショップの従業員が1日の中で様々な役割を担当する場合、IAMロールを使って必要なアクセス許可を一時的に付与することができる。

ロール：レジ係　→　ポリシー：レジシステムへのアクセス権など
ロール：在庫管理係　→　ポリシー：在庫システムへのアクセス権・更新権限など
ロール：オンライン注文係　→　ポリシー：オンラインシステムへのアクセス権・更新権限など

IAMロールでは、どの時点でも１つの役割しか担当できないようにし、切り替えて使うことができる。切り替えると以前のロールの権限は取り消され、次の新しいロールの権限が与えられる。

レジ係　→　在庫管理係　→　オンライン注文係
このように、IAMロールは権限を一時的に付与する必要がある状況に適しています

ルートアカウントの作成

ルートアカウントやIAMがどんなものか理解したら、公式の手順に沿って、ルートアカウントを作成。

IAMユーザーの作成

IAMでユーザー作成するために、所属するグループの定義から始める。

IAMグループ作成

コンソール画面の上部にある検索フォームからIAMを検索して、IAMの画面へ移動。
左メニュー内の「個のユーザーグループ」から「グループ作成」に進む。

グループ名： 任意のものでOK
アクセス許可ポリシーをアタッチ：　 （例）検索窓で「AdministratorAccess」を検索しチェック

IAMユーザー作成

上記と同じく、IAMのコンソール画面の左メニュー内の「ユーザー」から「ユーザーを追加」に進む。
下記内容でユーザを作成。

ユーザ名： 任意のものでOK
AWS 認証情報タイプを選択： パスワード - AWSマネジメントコンソールへのアクセス
コンソールのパスワード： カスタムパスワード、任意のパスワードを入力
パスワードリセットが必要： チェックなし
アクセス権限： 先ほど作成したIAMグループにチェック
タグの追加： なし

作成が終わったら作成したIAMユーザーでコンソール画面にログインできるか確認。

この段階で「ルートアカウント」「作成したIAMユーザーアカウント」の2つがある。
基本的にAWS上での作業はrootアカウントは利用せずに、新しく作成したIAMユーザーアカウントを利用して進めていく。

budgets設定

budgetsとはAWS上で使用している各種リソースの使用状況を監視して、設定した金額を超えた場合はアラートを通知してくれるサービス。
budgetsにてサポートされている予約のアラートは、下記の5つのサービスに対して。

●Amazon EC2
●Amazon RDS
●Amazon Redshift
●Amazon ElastiCache
●Amazon Elasticsearch

---

AWSは無料枠で利用できるクラウドサービスもあるが、基本的には有料のサービスになっている。
そのため意図しない課金が出ないように予算のアラート設定が必須になる。

コンソール画面の検索窓から「budget」と検索して「AWS Budgets」のサービスを開き、「予算を作成」に進む。
下記の内容で作成。

#予算タイプを選択
予算タイプ：コスト予算

#詳細
予算名：任意の名前
予算額を設定(ここは任意のものでOK)
間隔：月別
予算有効日：定期予算
開始月：現在の年月
予算設定方法：固定
予算額：10.00
予算のスコープ：すべてデフォルト設定でOK

#アラートの設定
閾値：任意の%
トリガー：実績
Eメールの受信者：受信するメールアドレス

#アクションのアタッチ
そのまま

参考記事

IT未経験の初心者がIAMを理解しようとしてみた
AWS Budgetsとは？コスト予算の設定