【Let's AWSハンズオン①】AWSハンズオンを始める前の準備

はじめに

　AWS資格をいくつか取得（CLF、SAA、DVA、SOA）したのですが、ハンズオンをほとんどしたことがないので、これから少しずつ行っていこうとこの記事を作成しております。
　私自身がハンズオンできていなかった一番の理由として、従量課金制で学習にコストがかかることでしたので、この記事では実際にかかった費用も紹介できればと思っています。まだまだ初学者でありますので誤った表記などあればご指摘いただけると幸いです。

もくじ

• ハンズオンを始める前の準備事項
  ①ルートルートユーザーのMFA認証有効化
  ②IAMユーザーの作成
• AWSにおけるユーザーについて
  • ルートユーザーとは？
  • IAMユーザーとは？
• Let's AWSハンズオン
  • ルートユーザーのMFA認証有効化
  • IAMユーザーの作成
• 今回のハンズオンで発生する課金金額【０円】
• まとめ

ハンズオンを始める前の準備事項

①ルートユーザーのMFA認証有効化
②IAMユーザーの作成

※すでにAWSアカウントは作成しているものとする

AWSにおけるユーザーについて

　AWSでは、大きく分けて以下３つのユーザーが存在します。

• ルートユーザー
• IAMユーザー
• フェデレーションユーザー（今回は説明を割愛）

ルートユーザーとは？

　AWSアカウントを作成した際に作成される最初のユーザーであり、そのアカウントの全てのリソースに対して完全な管理アクセス権を持つ特権的なユーザーになります。
　その強力な権限ゆえにセキュリティリスクも高いため、使用は最小限に抑え、日々の運用では後述する「IAMユーザー」を使用することが推奨されています。

★上記の理由から、今回はハンズオンを始める前に
「ルートユーザーのMFA認証有効化」、「IAMユーザーの作成」を行います。

IAMユーザーとは？

　IAMユーザーとは、AWSアカウント内で特定の権限を持つ個別のアカウントです。これにより、ユーザーはAWSリソースにアクセスできるようになります。
　AWSでは、ルートユーザーを利用せず、必要最低限の操作権限に対する認可を受けたIAMユーザーを作成して利用することが推奨されています。

Let's AWSハンズオン!

ルートユーザーMAF有効化

①コンソールにサインインする

②AWSアカウント作成時に登録したメールアドレスとパスワードを入力し、ルートユーザーとしてサインインする

③コンソール画面右上のアカウント名をクリックし「セキュリティ認証情報」を選択

④「MFAを割り当てる」を選択
※MFA認証の設定がされていない場合はこのアラートが表示されます

⑤MFAデバイスの選択
・デバイス名を入力
・今回はスマートフォンを利用したMFA認証

⑥デバイスの設定
・認証アプリの「Google Authenticator」をスマホにインストールしておく
・QRコードを表示し、「Google Authenticator」でコードをスキャンする
・30秒毎に6桁の数字が表示されるので、「MFAコード１」「MFAコード２」に値を入力し「MFAを追加」を選択

⑦MFAの設定完了

⑧MFA認証の確認
1度サインアウトして、サインイン画面にてメールアドレスとパスワードを入力した後にMFAのコードを入力するように求められ、「Google Authenticator」に表示されるコードを入力するとコンソール画面へサインインできる。

以上

IAMユーザーの作成

①コンソール画面上部の検索窓に「IAM」と入力し、検索結果の「IAM」サービスを選択

②IAMダッシュボード左側の「ユーザー」を選択し、ユーザーの作成を行う

③ユーザーの詳細を指定
・ユーザー名を入力
・「AWS マネジメントコンソールへのユーザーアクセスを提供する - オプション」にチェックを入れる
・「ユーザーにコンソールアクセスを提供していますか?」で「IAM ユーザーを作成します」にチェックを入れる
・「コンソールパスワード」＞「自動生成されたパスワード」にチェックを入れる
・「ユーザーは次回のサインイン時に新しいパスワードを作成する必要があります - 推奨」にチェックを入れ
・次へを選択

⑤IAMユーザーに割り当てる許可を設定する
・「ポリシーを直接アタッチする」にチェックを入れる
→管理するユーザーが多い場合は、「ユーザーグループ」を作成し、そのグループに対して許可を設定することで、グループに所属しているユーザー全体にまとめて許可を設定することができます（今回は個人での利用なのでユーザーに直接ポリシーをアタッチします）

・「許可ポリシー」にて「AdministratorAccess」にチェックを入れる
→「AdministratorAccess」は管理者用の権限で、すべてのAWSサービスとリソースに対してすべてのアクションを実行する権限を持ちます。ルートユーザーとの違いは、支払い情報の管理やアカウント情報の変更など、アカウント全体に対する設定権限は持っていません
※ルートユーザーと同じく、セキュリティリスクの高い権限となるので、取り扱いには注意が必要

・次へを選択

⑥設定内容を確認してユーザーの作成を行う

⑦IAMユーザー作成完了-パスワードを取得
・初期パスワードを確認する
→コンソールにサインインするための情報をCSV出力できる

⑧コンソールサイン詳細情報のCSV
・コンソールサインインURLとユーザー名、パスワードの情報が記載されている

⑨IAMユーザーとしてサインイン
・アカウントID、ユーザー名、パスワードを入力する
（アカウントIDは各AWSアカウントに一意で割り振られた12桁の数字）

⑩新しいパスワードの設定

⑪IAMユーザーとしてコンソール画面へサインイン

※権限のないサービスについては「アクセス拒否」と表示される
AdministratorAccessポリシーでも、デフォルトではコスト管理についてアクセス許可がない為、別途アクセス権を付与する必要がある

※IAMユーザーに対してもMFA機能は有効化できるので、セキュリティを高めるために行っておきましょう！
以上

今回のハンズオンで発生する課金金額【０円】

　今回行った、「ルートユーザーのMFA認証有効化」「IAMユーザーの作成」はどちらもAWS IAMを利用しており、AWS IAMの利用料は無料であるため【０円】になります。

まとめ

　今回は、これからハンズオンを行っていく為の準備事項を説明させていただきました。安全に運用を行う為にユーザーのセキュリティをあげることは重要なので、しっかり対策を行いましょう。