AWSアカウントを作成して最初にすること

AWSのアカウントを作ったので、早速EC2を作りたいと思います!

その前に、アカウントを登録してすぐの状態はセキュリティ的にも、コスト管理的にもリスクがある状態なので、まずは以下のことしましょう!

  • ルートアカウントのセキュリティ対策
  • Cloud Trailを有効化する
  • AWS請求レポートを有効化する

ルートアカウントのセキュリティ対策

すみません、ルートアカウントってなんでしたっけ?

ルートアカウントは管理者ユーザーのことで、アカウント配下のAWSサービス全てに対して操作権限を持つんだよ。

なるほど。ならこのルートアカウントで全て操作すれば簡単ですね。

いやいや、そうじゃないんだ。全ての操作権限を持つので、このアカウントを不正に利用されると大変なことになるんだ。

大変なこと・・・例えばどんなことでしょう?

わかりやすい所だと、意図しない過剰請求が発生することかな。

それは、困ります・・・

うん、だからまずは最初にルートアカウントのセキュリティ対策をしっかりしておこう

セキュリティステータスを確認しよう

AWS管理コンソールの画面からIAMの画面にアクセスすると画面下部に図のようなセキュリティステータスのエリアがあります。左側に黄色の注意のようなマークがある箇所がセキュリティ対策が不十分な箇所ですので、ここを完了にしてルートアカウントのセキュリティを高めましょう。

※デフォルトではルートアクセスキーは作成されていませんので、完了のステータスになっていますが、ここではルートアクセスキーの削除も確認したいと思います。

ルートアクセスキーの削除

ルートアカウントでは、特別な理由がない限りアクセスキーを削除することが推奨されています。削除方法は下の図のとおりです。

『ルートアクセスキーの削除』から『セキュリティ認証情報の管理』をクリックします
『アクセスキー(アクセスキーIDとシークレットアクセスキー)』のエリアからアクション欄の削除をクリックしてアクセスキーを削除します

ルートアカウントのMFAを有効化

MFAは、複数の認証手段を通じて、なりすましを防止することです。MFAとはAWSにおいてもこのMFAの有効化は推奨されています。今回は仮想MFAデバイスを使って多要素認証の設定を行います。

『ルートアカウントのMFAを有効化』から『MFAの管理』をクリックする
『多要素認証(MFA)』から『MFAの有効化』をクリックする
『MFAデバイスの管理』で『仮想MFAデバイス』を選択し『続行』をクリック
※U2Fセキュリティーキーやその他ハードウェアMFAデバイスは物理的なデバイスが必要になります。
『仮想MFAデバイスの設定』でQRコードの表示をクリックし、QRコードを表示する。
それをGoogle Authenticatorなどのアプリで読み取る。読み取ったあとアプリ上に1回目に表示されるMFAコードと2回目に表示されるMFAコードを入力し、『MFAの割り当て』をクリック
上記の画面が表示されたら完了です。『閉じる』をクリックして閉じましょう

個々のIAMユーザー/グループの作成

AWSサービスを利用する場合は、ルートユーザーではなく権限を制限できるIAMユーザーを個々に作って利用するようにしましょう。またIAMユーザーに権限を付与するためにIAM Groupを作成して割り当てましょう。

『個々のIAMユーザーの作成』から『ユーザーの管理』をクリック
『ユーザー追加』をクリックしてユーザーを追加していきます
『ユーザー名』を入力、アクセス種類は必要に応じて選択してください。
『グループの作成』をクリックしIAMグループを作成
『グループ名』を入力し、そのグループに適用するポリシーを選択肢、『グループ作成』をクリック
『次のステップ:タグ』をクリックし、タグを設定します。
タグを設定し、『次のステップ:確認』をクリックします。
内容を確認し、『ユーザーの作成』をクリックし、IAMユーザーを作成します。
以上でIAMユーザーの作成完了です。

IAM パスワードポリシーの適用

IAMユーザーのログインパスワードのポリシーを設定し、パスワードを推測されにくくします

『IAMパスワードポリシーの適用』から『パスワードポリシーの管理』をクリック
『パスワードポリシー』から『パスワードポリシーを設定する』をクリック
パスワードポリシーを設定し、『変更の保存』をクリックしてパスワードポリシーを設定

Cloud Trailを有効化する

続いてCloudTrailを有効化にしていきましょう

CloudTrailを有効化すると何ができるんですか?

CloudTrailを有効化することで、AWSアカウントに対して「誰が」「いつ」「何を」したのか確認することができるようになります。証跡を残すので後からその証跡を元に調査が容易になります。

Cloud Trail を有効化する前に読んでください

CloudTrailを設定する際に『証跡』というものを作成します。その証跡1つにつき無料で利用可能です。しかし、証跡を設定するその証跡はS3に保存されます。S3自体は使用量に応じて課金がされますのでご注意ください。

Cloud Trailの設定

Cloud Trailのダッシュボードの画面から『証跡情報』をクリック
認証情報の画面から『証跡の作成』をクリック
証跡名を入力し、作成ボタンをクリックします。その他設定は必要に応じて設定します。デフォルトのままでも問題ありません。

AWS請求レポートを有効化する

AWS請求レポートはなぜ設定をするんでしょうか?

AWSの利用を続けていくと、使った分に応じて課金がされます。結果、請求時に予期せぬ金額になることもあります。それを防ぐためにこの請求レポートを有効化し、請求金額が高くなりすぎないようにコントロールすることが大切です。

請求レポートを有効にする前に

IMAユーザーで請求ダッシュボードを確認すると以下の画面のようにアクセス権限がないと言われることがあります。これは、デフォルトではIAMユーザーに請求ダッシュボードを閲覧する権限が与えられていないためです

ルートユーザーでIAMユーザーに権限を与える

ルートユーザーでログインをし、マイアカウントからIAMユーザーへの請求ダッシュボードの閲覧権限を付与することができます。

マイアカウントをクリック
マイアカウント画面の中央部に『IAMユーザー/ロールによる請求情報へのアクセス』欄がありますので、『編集』をクリックします
『IAMアクセスのアクティブ化』にチェックをつけて、『更新』をクリック
IAMユーザーでログインしなおし、請求ダッシュボードを開くと閲覧できるようになっています。

無料利用枠の請求アラームの設定

無料利用枠でAWSの学習をされている方も多いとおもいます。無料利用枠で使っていたと思っても知らずのうちの無料利用枠を超え手作業をする場合が発生するかもしれません。そのときに備えて、無料利用枠のアラート設定を行います。

請求ダッシュボードの画面で『Billingの設定』をクリックし、無料利用枠のアラート受信を設定します。

Cloud Watchを使った請求アラートの設定

仕事で利用されている場合も、コスト管理はとても大切です。費用が大きくならないようにするために早めの検知が必要です。そのために、ここである一定金額を超えた場合に請求アラートのメールが送信されるように設定を行います。

CloudWatchの請求アラートの画面を表示っし、アラームの作成をクリック
※リージョンがバージニア北部になっているか確認してください
メトリクスの条件の画面でしきい値を設定します。気をつけたいのはCurrencyの部分で
日本円で設定する場合は『JP』と記載してください
アクション設定の画面で通知方法を設定します。通知はSNSのサービスを使って通知を行います。『新しいトピックの作成』を選択して通知先を設定します。
アラーム名を識別する名前を設定し、『次へ』をクリックしアラームを作成します。

Cost Explorerの有効化

AWSの利用状況を可視化/分析できるサービスです。 サービス毎のコストや月ごとのコストの推移を確認できます。Cost Explorerの有効化は以下の画面で設定できます

請求ダッシュボードのCost Explorerの画面で『コストエクスプローラーを有効化』をクリックして有効化します

支払い通貨の変更(USD→JPY)

支払い通貨はデフォルトはUSドルでの支払いがデフォルトです。日本円に変更することで外貨取扱手数料に相当する費用を削減することが可能です。ただし、AWSがドルベースでの請求になることは変わりません。そのため請求時点のレートでの請求額はきまります。

アカウント設定画面のお支払通貨の設定欄の『編集』をクリック
『お支払通貨の選択』で『JPY』を選択し、『更新』ボタンをクリック

まとめ

AWSアカウントを作成した後は、ルートアカウントのセキュリティとコスト管理の対策はしっかりやりましょう。他にも設定しないといけないことがあれば、追記していきたいと思います。安全なAWS利用を心がけていきましょう。

最後まで読んでいただきありがとうございました。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です