AWS(アマゾンウェブサービス)を利用する際に最初に設定しておきたいことをまとめました。
不正利用が怖いため、
- 過去ログを無制限に保存
- 設定額以上利用したらアラーム
- ルートユーザー(何でもできるアカウント)でログインしない
といった設定を行います。
これからAWSを使う方は参考にしてくださいね。
- 会社員をしながら1年で1200時間学習
- クラウドソーシングで0-1達成
- 学習開始から1年半でフリーランス
- エラー直す・ガジェット好き
料金アラート設定
検索窓に「Billing and Cost Management」と入力し、コスト管理ホーム画面へ。
コピペ用
Billing and Cost Management最初は「無料分を超えたらアラートが来る」という設定を行います。
予算名
アラートを受け取るアドレスを設定して完了です。
こちらは予算が超えたらアラートが鳴る、だけで使用不可にするといった設定ではないので注意してください。
AWSでは「サービス全部を止める」といった機能はないため、請求の出どころを探してから、該当のサービス、アカウントを止めるといった流れになります。
コストと使用状況の分析などを用いて見つけましょう。
編集用のアカウントを作成
最初に作ったアカウント「ルートユーザー」で、不正ログインでもされたら不正利用され大変な料金が請求される…。なんてことも冗談ではありません。
そのため、普段使い用の「編集用アカウント」を作成して、ルートユーザーでの接触を可能な限り減らします。
何かあったとき、編集用アカウントを削除するだけですみます。
以下の流れで行います。
- IAMユーザーを作る
- AdministratorAccess権限を付ける
- コンソールアクセスの許可
左上の検索窓から、「IAM」を入力して「AWSリソースへのアクセスの管理」を選びます。
コピペ用
IAM選択肢は「ユーザー」です。
ユーザー名を決め、「AWSマネジメントコンソールへのユーザーアクセスを提供する」にチェックを入れます。
パスワードは自動生成でいいと思います。管理している物があればカスタムパスワードを選択してください。
見れる機会が一度しかないので、確認画面でしっかりコピペしておきましょう。
ユーザーグループ名を決め、触れる権限を指定します。
検索に「AdministratorAccess」と入力し、チェックを入れます。
コピペ用
AdministratorAccess「許可の境界を設定」は触らず、次へ。
AdministratorAccessにチェックを追加し、許可しましょう。
改めてコンソールにログインします。
IAMユーザーでログインから、ログインしましょう。
- アカウントID:メール付随のURLからアクセスしたら入力済み
- IAMユーザー名:設定したユーザー名
- パスワード:自動生成されたパスワード
操作ログを記録
ログ自体は90日間最初から設定されていますが、安心のためにログが残るように設定します。
左上の検索窓にCloud Trailを入力、サービスのページへ。
コピペ用
Cloud Trailオレンジのボタンを押します。
証跡名を設定したら、S3にログを保管する箱を作ります。
お金はかかりませんけど、S3の保管料はかかります、と注意書きがでますが、「証跡を作成」としましょう。
これにて、過去ログが保存されるようになりました!
普段はコンソールトップに表示されていますが、より深く、細かく見たいときにCloud Trailから確認することが出来ます!
まとめ:AWSアカウント作成したら最初にやりたい設定
セキュリティ関連をしっかり設定して、安心して使っていきましょう。
自身で触ってみることで、クライアントワークにも対応できる幅が増えますね^^
- 操作ログを無制限に保存
-
デフォルトで90日間保存されますが、それ以上に遡ってログを確認することが可能。
- 料金アラーム設定
-
無料枠を超えたらアラームが来るように。異常の感知が素早く行えます。
- 編集用アカウント作成
-
万が一親ルートユーザーの不正ログインを防ぐため、編集用アカウントは普段から別々の管理を。
アカウントを分けるのはAWS公式でも推奨されています。
日常的なタスクにはルートアカウントを使用しないことがセキュリティ上のベストプラクティスと考えられています
https://aws.amazon.com/jp/getting-started/guides/setup-environment/module-two
AWSチュートリアル
セキュリティを強化して、安全に活用しましょう!
コメント