LoginSignup
1
0

More than 1 year has passed since last update.

@mmaumtjgj(k)

AWSアカウント作成/ 初めてのAWS忘備録①

Last updated at Posted at 2022-03-16

アカウント作成する前に

AWSには、異なる2つのユーザタイプがある。

・AWSアカウント作成時に生成されるルートユーザー(アカウント所有者)

・ルートユーザまたはアカウントのIAM管理者によって作成されるIAMユーザー

ルートユーザーとは

AWSアカウントを作成した時に用意したEメールアドレスとパスワードを使用してサインインできるユーザーのこと。アカウント所有者なので、AWS上のサービスほぼ全てを制限なく実行が可能。

IAMとは

IAMユーザーを理解する前に、IAMって?から理解した方がわかりやすい。

IAMとは「Identity and Access Management」の略で、その名のとおりIDとアクセス権を管理する機能
IAMを使用すれば、誰がどのサービスにアクセスできるのかを、許可または拒否することができる。
全ての人が全てのサービスやデータに対してアクセス権を持つというのは安全ではないので、必要な人に、必要最低限の権限のみを付与することが推奨されている。

管理機能が必要な理由として、アカウント1つでも使うことはできるが、システムの種類(メインシステム・サブシステムなど)や環境の用途(開発用・本番用など)に応じてアカウントを分けた方が、セキュリティや運用面におけるメリットが高いから。

IAMユーザー/IAMポリシー/IAMロール

IAMユーザー

IAMユーザーとは人に与えられるIDのこと。ユーザー名とパスワードが付与され、AWSアカウントにログインする際に必要となる。

1つのAWSアカウントの中に複数のユーザーを作ることができ、従業員1人ずつ個別のIAMユーザーを作成することが推奨されている。

新しく作ったIAMユーザーには、デフォルトでは何のアクセス許可も与えられていない。後述のIAMポリシーを割り当てることによって、必要なアクセス許可を付与することができる。

IAMポリシー

IAMポリシーとは、「何に対して」「どのような操作を」「できるか(できないか)」の権限を記述したドキュメントで、許可証のようなもの。これをIAMユーザーや後述のIAMロールに割り当てることで、「誰が」その権限を持つのかといったことを決定する。

ポリシーの例
AdministratorAccess:管理者権限で全部許可
ReadOnlyAccess:見るだけ許可
AmazonS3ReadOnlyAccess:S3を見るだけ許可

IAMロール

IAMロールとは、役割のようなもの。前述のポリシー(権限)を束ねることができ、それを代表する概念的な名前を付けることができる。

例えば、コーヒーショップの従業員が1日の中で様々な役割を担当する場合、IAMロールを使って必要なアクセス許可を一時的に付与することができる。

ロール:レジ係 → ポリシー:レジシステムへのアクセス権など
ロール:在庫管理係 → ポリシー:在庫システムへのアクセス権・更新権限など
ロール:オンライン注文係 → ポリシー:オンラインシステムへのアクセス権・更新権限など

IAMロールでは、どの時点でも1つの役割しか担当できないようにし、切り替えて使うことができる。切り替えると以前のロールの権限は取り消され、次の新しいロールの権限が与えられる。

レジ係 → 在庫管理係 → オンライン注文係
このように、IAMロールは権限を一時的に付与する必要がある状況に適しています

ルートアカウントの作成

ルートアカウントやIAMがどんなものか理解したら、公式の手順に沿って、ルートアカウントを作成。

IAMユーザーの作成

IAMでユーザー作成するために、所属するグループの定義から始める。

IAMグループ作成

コンソール画面の上部にある検索フォームからIAMを検索して、IAMの画面へ移動。
左メニュー内の「個のユーザーグループ」から「グループ作成」に進む。

グループ名: 任意のものでOK
アクセス許可ポリシーをアタッチ:  (例)検索窓で「AdministratorAccess」を検索しチェック

IAMユーザー作成

上記と同じく、IAMのコンソール画面の左メニュー内の「ユーザー」から「ユーザーを追加」に進む。
下記内容でユーザを作成。

ユーザ名: 任意のものでOK
AWS 認証情報タイプを選択: パスワード - AWSマネジメントコンソールへのアクセス
コンソールのパスワード: カスタムパスワード、任意のパスワードを入力
パスワードリセットが必要: チェックなし
アクセス権限: 先ほど作成したIAMグループにチェック
タグの追加: なし

作成が終わったら作成したIAMユーザーでコンソール画面にログインできるか確認。

この段階で「ルートアカウント」「作成したIAMユーザーアカウント」の2つがある。
基本的にAWS上での作業はrootアカウントは利用せずに、新しく作成したIAMユーザーアカウントを利用して進めていく。

budgets設定

budgetsとはAWS上で使用している各種リソースの使用状況を監視して、設定した金額を超えた場合はアラートを通知してくれるサービス。
budgetsにてサポートされている予約のアラートは、下記の5つのサービスに対して。

●Amazon EC2
●Amazon RDS
●Amazon Redshift
●Amazon ElastiCache
●Amazon Elasticsearch

AWSは無料枠で利用できるクラウドサービスもあるが、基本的には有料のサービスになっている。
そのため意図しない課金が出ないように予算のアラート設定が必須になる。

コンソール画面の検索窓から「budget」と検索して「AWS Budgets」のサービスを開き、「予算を作成」に進む。
下記の内容で作成。

#予算タイプを選択
予算タイプ:コスト予算

#詳細
予算名:任意の名前
予算額を設定(ここは任意のものでOK)
間隔:月別
予算有効日:定期予算
開始月:現在の年月
予算設定方法:固定
予算額:10.00
予算のスコープ:すべてデフォルト設定でOK

#アラートの設定
閾値:任意の%
トリガー:実績
Eメールの受信者:受信するメールアドレス

#アクションのアタッチ
そのまま

参考記事

IT未経験の初心者がIAMを理解しようとしてみた
AWS Budgetsとは?コスト予算の設定

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0