前回は、AWSアカウントの作成手順についてご紹介しました。
続いて、サービスを利用する前に「必ずしておくべき初期設定」を一緒に実施していきましょう!
こちらを省略してしまうと、
「不正アクセスでアカウントを乗っ取られてしまった!」
「知らぬ間に、何十万・何百万の請求がきた!」
ということも発生しうるため(おそろしい……)、必ず実施しておきましょう!
▶️動画でも作成手順を紹介しています!
多要素認証
まずは、セキュリティレベルを高めましょう。
AWSアカウント作成で登録したメールアドレスでログインすると、ルートユーザーにログインしたことになります。
ルートユーザーとは、管理権限をもつユーザーで何でもできるスーパーユーザーのこと。
不正アクセスに備えて、メールアドレス+パスワードでのログインに加えて、多要素認証(MFA)も設定しましょう。
1-1. スマートフォンに、MFA用アプリケーションをインストール
スマートフォンに、以下の無料アプリをインストールします。
※上記アプリケーション以外も使用可能です。詳細は、以下リンクからご確認ください。
(ただし、以降の手順ではGoogle Authenticatorを使用しながら解説します)
1-2. IAMダッシュボートを開く
AWSマネジメントコンソールの左上から、「IAM」というサービスを検索します。
サービス > セキュリティ、ID、およびコンプライアンス > IAM
IAMの左にある星マーク(☆)を押下すると、ヘッダー直下にショートカットが作成されるため便利! よく使用するサービスについては、積極的に星マークをONにしましょう。
IAMダッシュボードを開くと、「rootユーザーのMFAを追加する」エリアに注意マークがついています。
1-3. rootユーザーのMFAを追加する
IAMダッシュボードの「MFAを追加」ボタンを押下します。
※ヘッダー左のAWSアカウント名を押下して開くメニューからも遷移可能です。
[AWSアカウント名] > セキュリティ認証情報
セキュリティ認証情報の多要素認証(MFA)エリアにある「MFAの有効化」ボタンを押下します。
Google Authenticatorを使用するため、「仮想MFAデバイス」を選択し、続行ボタンを押下します。
「QAコードの表示」リンクを押下します。
スマートフォンにインストールしたGoogle Authenticatorを開き、右下のプラス(+)ボタンを押下します。
QAコードをスキャンボタンを押下します。
QAコードを読み取ると、AWS rootユーザー用のアカウントが追加されます。
Google Authenticatorに表示されるMFAコードを入力します。
連続する2つのMFAコードを入力する必要があります。
連続する2つのMFAコードとは、「1つ目のコード」と「1つ目のコードが表示された後、1分間待って表示されたコード」の2つを入力するという意味です。
下記画像の例では、「789 499」が表示された後、1分間待って「523 705」というコードがGoogle Authenticatorに表示されました。
コードを入力したら、「MFAの割り当て」ボタンを押下しましょう。
無事、仮想MFAを割り当てることができました!
以降、ログインをする際は、メールアドレス+パスワードを入力後、MFAコードも入力する必要があります。
多要素認証(MFA)エリアにも、追加したMFA情報が表示されるようになります。
IAMユーザーの作成
続いて、IAMユーザーを作成していきましょう。
上で、ルートユーザーは何でもできるスーパーユーザーと書きました。
こういった強力な権限を持つユーザーは、通常の運用時には使用するべきではありません。
不正アクセスの観点以外にも、誤って操作してしまったことが原因で、削除してはいけないものが消えてしまったということがあり得るからです。
普段の運用時には、IAMユーザーというものを作成し、こちらでログイン・操作をするようにしましょう。
初期設定時やアカウントを削除するときくらいしか、ルートユーザーにはログインしないよ
2-1. IAMパスワードポリシーを強化
IAMユーザーを作成する前に、IAMユーザーのパスワードポリシーを変更しましょう。
デフォルトのパスワードポリシーは弱いため、より強力なものに変更する必要があります。
IAM ダッシュボード > アクセス管理 > アカウント設定 > パスワードポリシーを変更する
以下画像のように設定し、「変更を保存」ボタンを押下しましょう。
※パスワードの有効期限については、無効にしています。パスワードを頻繁に更新するルールにすると、他でも使用しているパスワードを流用するユーザーが増え、より危険という見方があるためです。
保存すると、パスワードポリシーが更新されます。
著者:鳥谷部 昭寛/宮口 光平/菖蒲 淳司
2-2. STSの変更
STSの設定を変更します。
IAM ダッシュボード > アクセス管理 > アカウント設定 > Security Token Service (STS)
個人で勉強するために使用する場合は、以下3つ以外のエンドポイントはすべて無効化に変更しましょう。
「無効化」リンクを押下すると、以下画像のようなモーダルが開くため、「無効化」ボタンを押下します。
無効化にしたいすべてのエンドポイントに対して同じ操作を繰り返し、以下画像のようになればOKです!
下準備はこれで終わり。いよいよ、ユーザーを作成していきます。
2-3. IAMユーザーグループの作成
IAMには、ユーザの他にユーザーグループという考え方があります。
グループを用いることで、アクセス権限などを複数のユーザに対してまとめて付与することができます。
管理者グループ、開発者グループ、テストグループ、運用グループなど、さまざまなユーザーグループを作ることで、ユーザーをまとめて管理できるよ!
手順1. ユーザーグループ作成ページへ遷移
今回は、管理者用のグループを作っていきましょう。
ユーザーグループのページを開いたら、右上の「グループを作成」ボタンを押下します。
IAMダッシュボード > アクセス管理 > ユーザーグループ > グループを作成
手順2. ユーザーグループ名の入力
任意のユーザーグループ名を入力します。(例:admin)
手順3. 許可ポリシーを添付
「許可ポリシーを添付」エリアで「AdministratorAccess」と検索し、「AdministratorAccess」にチェックをつけます。
その後、「グループを作成」ボタンを押下します。
手順4. 作成されたことを確認
「admin」というユーザーグループが作成できました。
2-4. IAMユーザーの作成
IAMユーザーを作成しましょう。
ユーザーのページを開いたら、右上の「ユーザーを追加」ボタンを押下します。
IAMダッシュボード > アクセス管理 > ユーザー > ユーザーを追加
手順1. ユーザー詳細の設定
- 任意のユーザー名を入力します。
- 「パスワード – AWSマネジメントコンソールへのアクセス」にチェックを入れます。
- カスタムパスワードを選択し、「2-1. IAMパスワードポリシーを強化」で登録したポリシーに則ったパスワードを入力します。
- パスワードのリセットは不要なため、チェックを外します。
- すべて入力できたら、「次のステップ: アクセス権限」ボタンを押下します。
手順2. アクセス許可の設定
「2-3. IAMユーザーグループの作成」で作成したユーザーグループを選択し、「次のステップ: タグ」ボタンを押下します。
手順3. タグの追加
オプション設定であるため、実施する必要はありません。
何も入力せず、「次のステップ: 確認」ボタンを押下します。
手順4. 確認
問題なければ、「ユーザーの作成」ボタンを押下します。
手順5. ユーザーのセキュリティ認証情報のダウンロード
必須ではありませんが、バックアップという意味ではしておいた方がいいでしょう。
CSVファイルをダウンロードするか、メールで認証情報を送信しておきます。
無事、IAMユーザーが作成できました!
アカウント情報の設定変更
3-1. お支払い通貨の設定
お支払い通貨を「JPY – Japanese Yen」になっていなかったら、右上の「編集」リンクを押下し、変更します。
※最初から、「JPY – Japanese Yen」が選択されていた場合は、こちらの手順はスキップしてください。
3-2. 秘密の質問の設定
カスタマーサービスへ問い合わせる際に、秘密の質問が必要となります。
問い合わせることがあるかは分かりませんが、念のため設定しておきましょう。
右上の「編集」リンクを押下します。
ページ遷移することなく、入力欄と確定ボタンが表示されます。
3つ秘密の質問を登録し「更新」ボタンを押下します。
このUI好きじゃわ〜
登録すると、「秘密の質問は現在ご利用いただけません。」と表示されていた場所に、登録した秘密の質問の情報が表示されるようになります。
3-3. IAMユーザー/ロールによる請求情報へのアクセス許可
ルートユーザーは普段使用するべきではありません。
そのため、管理者権限を持つIAMユーザーが請求情報にアクセスできるよう許可設定を行います。
右上の「編集」リンクを押下します。
表示された「IAMアクセスのアクティブ化」にチェックをつけ、「更新」ボタンを押下します。
「IAMユーザー/ロールによる請求情報へのアクセスは有効になっています。」と表示されていればOKです。
請求関連の設定
4-1. Cost Explorerを起動
Cost Explorerは、AWS のコストと使用量の経時的変化を可視化するサービスです。
グラフで使用状況を確認でき視覚的に分かりやすいため、ぜひ有効化しておきましょう。
AWSコンソール右上の「アカウント名」押下後、「アカウント」リンクを押下します。
[アカウント名] > アカウント
Cost Explorerページを開き、「Cost Explorerを起動」ボタンを押下します。
[アカウント名] > アカウント > Cost Explorer
別タブで、AWSコスト管理のページが開きます。
※Cost Explorerは、最初に「Cost Explorerを起動」ボタンを押下してから24時間経たなければ確認できません。24時間後に改めて確認するようにしましょう。
24時間が経つと、以下のような画面が表示されるようになります。
4-2. 予算の設定(AWS Budgets)
自分で設定した予算を超えそうになったら通知がくるように設定します。
こちらを設定することで、予想外の請求がくることを防ぐことができます。
こういった設定をしていなかった知り合いは、何十万という請求がきて、AWSカスタマセンターに泣きついてたよ。その時はなんとかなったみたいだけど、あらかじめ予防しておくに越したことはないよなあ。
AWS Budgetsページを開き、「予算を作成する」ボタンを押下します。
[アカウント名] > アカウント > Budgets
手順1. 予算タイプを選択
Cost Explorerがまだ有効化になっていない場合、「コスト予算 – 推奨」しか選択できません。
ただ、今回は「コスト予算 – 推奨」で問題ないため、「次へ」ボタンを押下して先へ進みましょう。
手順2. 予算を設定
予算を設定していきましょう。
自己学習の場合は、なるべく料金を支払いたくないでしょうから、低めの予算を設定しておくといいでしょう。
予算名を入力します。(例:AWS全体の月別の予算)
予算額を設定します。
間隔は、「日別」「月別」「四半期単位」「年単位」の4つから選ぶことができます。
予算設定方法は「固定」「計画済み」「自動調整」の3種類から選ぶことができます。
予算更新タイプは、「経常予算」と「期限切れになる予算」の2種類から選ぶことができます。
予算の範囲にて、「すべてのAWSのサービス(推奨)」を選択し、「次へ」ボタンを押下します。
手順3. アラートの設定
「アラートのしきい値を追加」ボタンを押下します。
「この金額以上超えたら、アラートを通知する」というしきい値を設定できます。
「予算額の%」を選択した場合は、パーセントを入力します。
例えば、90を入力した場合、予算額($1.00)の90.00%である$0.90を超えると、アラートを通知するようになります。
「絶対値」を選択した場合は、実際の金額を入力します。
例えば、0.80を入力した場合、$0.80を超えると、アラートを通知するようになります。
手順4. アクションをアタッチ
設定したアラートのしきい値を超えた場合、それ以上課金されないように、EC2インスタンス(サーバ)の停止などを自動で行うよう設定することができます。
ただ、まだ、EC2等は作成していないため、今回はスキップしましょう。
「次へ」ボタンを押下します。
手順5. 確認
確認し問題がなければ「保存」ボタンを押下しましょう。
「AWS全体の月別の予算」という予算が、無事作成されました!
4-3. AWSのコストと使用状況レポートの作成(Cost & Usage Reports)
AWSのコストとコストに関する製品別の利用状況・利用額を分析するためのレポートを作成しましょう。
[アカウント名] > アカウント > Cost & Usage Reports
手順1. レポート名の入力
レポート名を入力します。(例:MyCostReports)
他の項目はそのままで「次へ」ボタンを押下します。
手順2. レポートを保存するS3バケットの登録
レポートを保存しておくS3バケット(ストレージ)を作成します。
何十円という単位ではありますが、S3にデータを溜めていくと使用料がかかるためご注意ください。
S3バケット欄の「設定」ボタンを押下します。
S3パケットの設定用モーダルが開くため、パケット情報を入力していきます。
- S3バケット名を入力します。
- リージョンを選択します。
- 「次へ」ボタンを押下します。
続いて、パケットに適用するJSON形式のポリシーが表示されます。
確認し問題なければ「このポリシーが正しいことを確認しました」にチェックを入れ、「保存」ボタンを押下します。
任意のレポートパスのプレフィックスを入力します。(例:MyCostReports)
他の項目は特に変更せず、「次へ」ボタンを押下します。
無事、レポートが作成されました!
4-4. 請求に関するメール受信設定
請求に関するメールを受信するために、設定を変更します。
[アカウント名] > アカウント > 詳細設定
- 詳細設定ページを開きます。
- 「EメールでPDF版請求書を受け取る」にチェックを入れます。
- 「無料利用枠の使用アラートを受信する」にチェックを入れます。
- 「詳細設定を保存」ボタンを押下します。
IAMユーザーへログイン
IAMユーザーへログイン
IAMユーザーへログインしましょう。
2-4. の手順5でダウンロードしたCSVファイルに記載されたURLにアクセスします。
もし、CSVファイルをダウンロードし忘れたという方は、AWS公式サイトからサインインページへ遷移してください。
AWSサインインページにて「IAMユーザー」を選択します。
アカウントID (12桁)またはアカウントエイリアスを登録し、「次へ」ボタンを押下します。
12桁のIDは覚えにくいため、代わりのエイリアス(別名)を付けることができます。
エイリアス(別名)を付ける手順については、後ほどご紹介します。
IAMユーザーのユーザー名とパスワードを入力し、「サインイン」ボタンを押下します。
ルートユーザーログイン時同様、MFA認証を行います。
ログイン後、画面右上に、「IAMユーザー名@[アカウントIDまたはアカウントエイリアス]」が表示されていれば、IAMユーザーでのログイン成功です。
(任意)アカウントエイリアス(別名)の登録
ルートユーザーでログイン後、IAMのダッシュボードへ遷移します。
画面の右の方にある、AWSアカウント欄の「作成」リンクを押下します。
AWSアカウントIDのエイリアス(別名)を登録します。(例:sei-suruga)
※新しいサインインURLの一部が、アカウントIDからエイリアスに変わります。
入力し終わったら、「変更を保存」ボタンを押下します。
AWSアカウント欄の情報が更新されています。
これで、12桁の数字を覚えなくてもサインインすることができるようになります。
アカウントエイリアス登録後、IAMユーザーにログインすると、右上の表記も変わっていることが確認できます。
リージョンの変更
リージョンについて、デフォルトでは「米国東部(バージニア北部)us-east-1」になっています。
こちらは、「アジアパシフィック(東京)ap-northeast-1」に変更しておきましょう。
画面右上の表記が「東京」に変わっていればOKです。
まとめ
お疲れさまでした! これにて、必ずしておくべき初期設定は完了となります。
これでいよいよ、AWSのサービスを利用することができます。
使い方を学び、開発・業務に活かしていきましょう!
著者:鳥谷部 昭寛/宮口 光平/菖蒲 淳司
他にも、漫画や小説をご紹介しておりますので、あわせてご覧ください。
また、YouTubeでも、書籍の紹介などをおこなっています。
フリーアトリエ晴星(YouTubeチャンネル)
いちど、ご視聴いただけると嬉しいです☺️
