AWSのアカウントを作ったので、早速EC2を作りたいと思います!
その前に、アカウントを登録してすぐの状態はセキュリティ的にも、コスト管理的にもリスクがある状態なので、まずは以下のことしましょう!
- ルートアカウントのセキュリティ対策
- Cloud Trailを有効化する
- AWS請求レポートを有効化する
ルートアカウントのセキュリティ対策
すみません、ルートアカウントってなんでしたっけ?
ルートアカウントは管理者ユーザーのことで、アカウント配下のAWSサービス全てに対して操作権限を持つんだよ。
なるほど。ならこのルートアカウントで全て操作すれば簡単ですね。
いやいや、そうじゃないんだ。全ての操作権限を持つので、このアカウントを不正に利用されると大変なことになるんだ。
大変なこと・・・例えばどんなことでしょう?
わかりやすい所だと、意図しない過剰請求が発生することかな。
それは、困ります・・・
うん、だからまずは最初にルートアカウントのセキュリティ対策をしっかりしておこう
セキュリティステータスを確認しよう

AWS管理コンソールの画面からIAMの画面にアクセスすると画面下部に図のようなセキュリティステータスのエリアがあります。左側に黄色の注意のようなマークがある箇所がセキュリティ対策が不十分な箇所ですので、ここを完了にしてルートアカウントのセキュリティを高めましょう。
※デフォルトではルートアクセスキーは作成されていませんので、完了のステータスになっていますが、ここではルートアクセスキーの削除も確認したいと思います。
ルートアクセスキーの削除
ルートアカウントでは、特別な理由がない限りアクセスキーを削除することが推奨されています。削除方法は下の図のとおりです。


ルートアカウントのMFAを有効化
MFAは、複数の認証手段を通じて、なりすましを防止することです。MFAとはAWSにおいてもこのMFAの有効化は推奨されています。今回は仮想MFAデバイスを使って多要素認証の設定を行います。



※U2Fセキュリティーキーやその他ハードウェアMFAデバイスは物理的なデバイスが必要になります。

それをGoogle Authenticatorなどのアプリで読み取る。読み取ったあとアプリ上に1回目に表示されるMFAコードと2回目に表示されるMFAコードを入力し、『MFAの割り当て』をクリック

個々のIAMユーザー/グループの作成
AWSサービスを利用する場合は、ルートユーザーではなく権限を制限できるIAMユーザーを個々に作って利用するようにしましょう。またIAMユーザーに権限を付与するためにIAM Groupを作成して割り当てましょう。









IAM パスワードポリシーの適用
IAMユーザーのログインパスワードのポリシーを設定し、パスワードを推測されにくくします



Cloud Trailを有効化する
続いてCloudTrailを有効化にしていきましょう
CloudTrailを有効化すると何ができるんですか?
CloudTrailを有効化することで、AWSアカウントに対して「誰が」「いつ」「何を」したのか確認することができるようになります。証跡を残すので後からその証跡を元に調査が容易になります。
Cloud Trail を有効化する前に読んでください
CloudTrailを設定する際に『証跡』というものを作成します。その証跡1つにつき無料で利用可能です。しかし、証跡を設定するその証跡はS3に保存されます。S3自体は使用量に応じて課金がされますのでご注意ください。
Cloud Trailの設定



AWS請求レポートを有効化する
AWS請求レポートはなぜ設定をするんでしょうか?
AWSの利用を続けていくと、使った分に応じて課金がされます。結果、請求時に予期せぬ金額になることもあります。それを防ぐためにこの請求レポートを有効化し、請求金額が高くなりすぎないようにコントロールすることが大切です。
請求レポートを有効にする前に
IMAユーザーで請求ダッシュボードを確認すると以下の画面のようにアクセス権限がないと言われることがあります。これは、デフォルトではIAMユーザーに請求ダッシュボードを閲覧する権限が与えられていないためです

ルートユーザーでIAMユーザーに権限を与える
ルートユーザーでログインをし、マイアカウントからIAMユーザーへの請求ダッシュボードの閲覧権限を付与することができます。




無料利用枠の請求アラームの設定
無料利用枠でAWSの学習をされている方も多いとおもいます。無料利用枠で使っていたと思っても知らずのうちの無料利用枠を超え手作業をする場合が発生するかもしれません。そのときに備えて、無料利用枠のアラート設定を行います。

Cloud Watchを使った請求アラートの設定
仕事で利用されている場合も、コスト管理はとても大切です。費用が大きくならないようにするために早めの検知が必要です。そのために、ここである一定金額を超えた場合に請求アラートのメールが送信されるように設定を行います。

※リージョンがバージニア北部になっているか確認してください

日本円で設定する場合は『JP』と記載してください


Cost Explorerの有効化
AWSの利用状況を可視化/分析できるサービスです。 サービス毎のコストや月ごとのコストの推移を確認できます。Cost Explorerの有効化は以下の画面で設定できます

支払い通貨の変更(USD→JPY)
支払い通貨はデフォルトはUSドルでの支払いがデフォルトです。日本円に変更することで外貨取扱手数料に相当する費用を削減することが可能です。ただし、AWSがドルベースでの請求になることは変わりません。そのため請求時点のレートでの請求額はきまります。


まとめ
AWSアカウントを作成した後は、ルートアカウントのセキュリティとコスト管理の対策はしっかりやりましょう。他にも設定しないといけないことがあれば、追記していきたいと思います。安全なAWS利用を心がけていきましょう。
最後まで読んでいただきありがとうございました。