AWS アカウントを作成したらやりたい 7 のこと

AWS アカウントを作成したら、やっておいた方がよいことをまとめました。
基本的には、IAM の Security Status +α といった感じです。
他にもあったら、教えてください。

MFA (2 段階認証)設定

仮想 MFA アプリケーションは、Google Authenticator を使いました。
その他 MFA については、Multi-Factor Authentication を参照してください。

  1. AWS ルートアカウントでログイン
  2. [IMA(Dashboard)] -> [Activate MFA on your root account] -> [Manage MFA] -> [A virtual MFA device] を選択し、[Next Step] をクリック
  3. MFA なアプリケーションが必要だよメッセージで [Next Step] をクリック
  4. 画面に表示された QR コードをアプリで読み込み、2 回分の数字を入力し、[Activate Virtual MFA] をクリック
  5. MFA 関連付けが成功しましたメッセージで [Finish] をクリック

作業用アカウント作成(アカウントとグループ作成)

普段は AWS ルートアカウントを使わないようにしたいので、作業用アカウントを作成します。

  1. [IMA(Dashboard)] -> [Create individual IAM users] -> [Manage Users] -> [Add user] をクリック
  2. [User name] に作成するユーザ名を入力し、[AWS Management Console access] にチェックを入れ、パスワード関連の項目を入力し、[Next: Permissions] をクリック
  3. [Add user to group] を選択し、[Create group] をクリック -> [Group name] を入力後、ポリシーを選択して、[Create group] をクリック
  4. [Next: Review] をクリック
  5. 設定を確認し、[Create user] をクリック -> [Access key ID] と [Secret access key] をメモし(credentials.csv ダウンロードでも ok)、[Close] をクリック

    作業用アカウントの MFA 設定

    作業用アカウントにも MFA(2 段階認証)を設定します。

    1. [IMA(Dashboard)] -> [Create individual IAM users] -> [Manage Users] で作業用アカウントを選択し、[security credentials] をクリック
    2. [Assigned MFA device] を編集して、MFA 設定を有効にする(ルートアカウントの MFA 設定と同じ)

パスワードポリシー設定

パスワードポリシーを厳しめに設定します。

  1. [IMA(Dashboard)] -> [Apply an IAM password policy] -> [Manage Password Policy] でパスワードポリシーを設定して、[Apply password policy] をクリック
  2. パスワードポリシーを設定し、[Apply password policy] をクリック

請求情報アクセスを IAM ユーザに許可

IAM ユーザ(作業用アカウント)で、請求情報を見られるように設定します。

  1. 右上のアカウント名メニューで、[My Accout] をクリックし、[IAM User and Role Access to Billing Information] まで画面スクロール
  2. [Activate IAM Access] にチェックして、[Update] をクリック

利用料金の監視

知らないうちに利用料金が高額にならないように、アラートを設定します。
あわせて、請求書をメールで受け取るように設定します。

  1. 右上のアカウント名メニューで、[My Accout] をクリック
  2. 画面左のメニューから [Preferences] をクリック
  3. [Receive PDF Invoice By Email] と [Receive Billing Alerts] にチェックを入れ、[Save preferences] をクリック
  4. [CloudWatch] にアクセスし、[Billing] をクリック
  5. [Create Alarm] をクリックして、[exceed] に金額、[send a notification to] にメールアドレスを入力し、アラームを設定
  6. 入力したメールアドレスに “AWS Notification - Subscription Confirmation” なメールが届くので、[Confirm subscription] をクリック

Cost Explorer の有効化

コスト情報をグラフィカルに確認できる Cost Explorer を設定します。

  1. 右上のアカウント名メニューで、[My Accout] をクリック
  2. 画面左のメニューから [Cost Explorer] を選択し、[Enable Cost Explorer] をクリック

CloudTrail の有効化

API の呼び出しや諸々のイベントログを記録してくれる CloudTrail を設定します。

  1. CloudTrail サービス画面にアクセス
  2. [Get Started Now] をクリック
  3. 設定して、[Create] をクリック

    • Turn on CloudTrail
      • Trail name : (任意)
      • Apply trail to all regions : Yes
    • Management events
      • Read/Write events : All
    • Storage location
      • Create a new S3 bucket : Yes
      • Storage location -> S3 bucket : (任意)

その他

グローバル IP アドレスが固定な環境なら、ポリシーでアクセス元を絞りたいです。
以下のドキュメントをしっかり確認したい。

www.slideshare.net docs.aws.amazon.com