AWSアカウント設定と請求アラート

Web開発,システム開発

コチラはAWS学習用の環境を構築した際の自分用の備忘録( ..)φメモメモです。つまり自分の知っている事は細かく書いておらず、他の方にはあまり参考になりませんので悪しからず。

プロローグ

まずrootユーザのセキュリティ強化を行います。次にIAMユーザーやグループ等を作成し、最後に請求アラートなどの設定も行っていきたいと思います。

rootユーザの設定

ここでは既にrootアカウントを取得済みである事を前提に記載していきます。rootユーザでログインIAMダッシュボードにある「MAFを有効」リンクを選択します。

次に多要素認証の「MAFの有効化」ボタンを押しQRコードを表示します。

スマートフォンの「Google認証システム」で上記QRコードを読込み、上記画面に認証コードを2つ、入力します。

これでrootユーザログイン時に多要素認証が必要となりました。

次にパスワードを強化します。左ペイン「アカウント設定」からパスワードポリシーの「Change」を選択します。

変更したいポリシーを選択し「変更の保存」ボタンを押します。

以上でパスワードも強化されます。

IAMユーザの作成

次にユーザーを作成していきます。操作は当然rootユーザーです。IAMダッシュボードの左ペイン「ユーザ」を選択し、「ユーザの追加」ボタンを押します。

「ユーザ名」を入力します。「プログラムによるサクセス」及び「AWSマネジメントコンソールへのアクセス」は両方ともチェックし「カスタムパスワード」を入力します。また「パスワードのリセットが必要」のチェックをつけておけば、該当ユーザがログインする際に自分自身でパスワードを設定しなおす事が可能です。「次へ」進みます。

「既存のポリシーを直接アタッチ」を選択し必要なポリシーをアタッチします。ここでは「AdministratorAccess」を選択しました。「次へ」進みます。

タグは付けなくても良いですが、例えば以下の様に「部署名」等をつけると便利です。「次へ」進みます。

次の確認画面で問題が無ければ「ユーザの作成」を実行して終了です。

グループの作成

次にグループを作成します。左ペイン「グループ」を選択し、「グループの作成」ボタンを押します。

「グループ名」を入力し「次へ」進みます。

任意のポリシーを選択し「次へ」進みます。

確認画面で問題無ければ「グループの作成」ボタンを押します。

以上でグループ作成は完了です。ユーザを追加する場合は「グループのアクション」>「グループにユーザを追加」で行ってください。

Cloud Trailの作成

次にユーザのアクティビティログの設定です。Cloud Trailダッシュボードに移動し左ペイン「証跡」から「証跡の作成」ボタンを押します。

任意の「証跡名」を入力し「S3バケット」にログを吐くようにしますが、「ログバケット名」は日付を入れるなどして一意になる様にしてください。その他設定も以下の図の通りです。「次へ」進みます。

イベントタイプは全て選択します。「次へ」進みます。

確認画面で問題が無ければ「証跡の作成」ボタンを押します。

なおS3にログが溜まっていくと無料分を消費して料金が請求されてしまうのでアラートが上がったらS3からログを削除する様にしましょう。

請求アラートの作成

大事な請求アラートの設定です。まずはrootユーザーで操作していきます。左上の「マイアカウント」から「IAMユーザ/ロールによる請求情報へのアクセス」の編集を押し「IAMユーザのアクティブ化」をオンにします。

これでIAMユーザも請求情報にアクセスできるようになります。IAMユーザでログインしなおしてください。

「マイ請求ダッシュボード」にアクセスできる事を確認します。

なお「Cost Explorer」は作成しておいた方が良いでしょう。

また左ペイン「Billingの設定」より「無料利用枠の使用アラートを受信する」及び「請求アラートを受け取る」にチェックを入れ、送信先の「Eメールアドレス」を入力します。最後に「設定の保存」を押してください。

上記だけでも良いのですが「CloudWatch」も設定していきます。ダッシュボードを移動してください。

なお請求アラートは「東京」リージョンでは設定できません。ここだけは「バージニア北部」で操作してください。

左ペイン「請求」を選択して、「アラームの作成」ボタンを押します。

「Currency」は「USD(米国$)」から「JP(日本円)」に変更します。統計は「平均」とし、閾値は「1000円」「以上」と設定します。「次へ」進みます。
※なお以下の画面にならない場合、rootユーザで操作している可能性があります。

まだSNSは作成していないので「新しいトピックの作成」を選択します。任意の「トピック名」を入力し、通知を受け取る「メールアドレス」を入力してください。最後に「トピックの作成」ボタンを押します。

そうしたら下の方までスクロールし「次へ」進みます。

「アラーム名」と「説明」を入力し「次へ」進みます。

確認画面で問題が無ければ「アラームの作成」ボタンを押します。

なお先ほど入力したメールアドレスに確認メールが届くのでメール認証をしてください。

これで請求アラートが届くようになります。

Print Friendly, PDF & Email

Web開発,システム開発

Posted by ヒポラボ ゆーすけ