ブログ

AWS運用でアカウント取得したら、すぐやること

私は執筆時点でAWS運用歴2年超ぐらいになります。
AWS界隈では、勉強したくてアカウントを取得したけど、アカウント取得方法や課金の仕組みが分からずAWS触るの怖いという人によく会います。
そこで、今回はAWSアカウント取得したら最初にやっておいた方が良いことをまとめてみます。

rootユーザのMFA化(多要素認証)

AWSではアカウントを作成すると「rootユーザ」と呼ばれるユーザが発行されます。
rootユーザは、最強の権限の持ち主です。
このユーザが乗っ取られると復旧にかなり難航します。
そこで、まずrootユーザ自体のログインセキュリティを強化するためMFAを設定します。

AWSのIAMの画面から、上記の「MFAの管理」を選択します。

ここでは仮想MFAデバイスを選択します。
スマートフォンでGoogle Authenticator等のアプリをダウンロードします。

ここで出力されるQRコードをGoogle Authenticatorに読み込ませます。
その後、Google Authenticatorに出力される6桁のコードをMFAコード1、MFAコード2の欄に入力します。
ここまでできたら、一旦AWSからログアウトしてログインしてみましょう。
ユーザ名・パスワードを入力後、
Google Authenticatorの入力が求められ、2要素での認証が必須となります。

IAMユーザ作成

上記でMFAを設定したrootユーザですが、AWSのベストプラクティスでは普段遣いは推奨されていません。
最強の権限の持ち主なので、仮に何かで乗っ取られると、かなり面倒なためです。
そこで、普段の作業はrootユーザでなく「IAMユーザ」呼ばれる普段利用のユーザを作成します。
作成方法はこちらが参考となります。
管理者の IAM ユーザーの作成

請求アラートの設定

お試し利用している場合、利用額のおおよその予算があると思います。
AWSには請求アラートという機能があり、月額の利用額を設定すると、その金額を超えた時にメール等で通知してくれる機能があります。
例えば月額3,000円までとして設定すると、月の利用料が3,000円を超える時にメール通知してくれます。コストが心配な人は設定すると良いかと思います。
設定方法はこちらです。
シナリオ: CloudWatch で概算請求額をモニタリングする

操作履歴を残すよう設定(CloudTrailを有効化)

AWSの操作履歴を残してくれるCloudTrailというサービスがあります。
この機能を有効化しておくと後々便利です。
下記の画面のように、どのユーザが何をしたのかを表示してくれます。

設定方法はこちらです。
AWS CloudTrail の開始方法のチュートリアル

参考記事  

下記にも割と細かい設定があります。
個人利用だと上記ぐらいで十分かと思いますが、より細かく設定してみたい人は良いのではと思います。
AWSアカウントを取得したら速攻でやっておくべき初期設定まとめ

総括・まとめ

いかがでしたか? 私のようにAWS運用歴が浅くても、このようなポイントをしっかりおさえて、アカウント取得後にAWS運用を始めています。

皆さんもぜひ、実践してみてください。

×

元記事発行日: 2020年08月02日、最終更新日: 2020年09月03日

Related Articles