【AWS】アカウントを取得したらやっておくこと

AWS

 

AWSアカウントを作成した後の初期設定をしていきます

参考程度にしていただき、ご自身のPJに合わせて設定してみてください

 

有料となる設定もあるため、ご注意ください

 

【必須】AWSアカウントのMFA有効化

 

AWSでのあらゆる操作が可能であるAWSアカウント

Email/PWだけでそれにログイン出来てしまうとセキュリティ的によくありません。

 

なので、多要素認証(MFA)を設定していきます。

Google Authenticatorを使用する手順は↓をご参考ください

【AWS】rootユーザーの設定しよう
AWSアカウント(rootユーザー)のセキュリティ向上は必須です。 そこで、アカウントを作成したら、最低限設定しておきたいことをご紹介します MFAの追加 「root ユーザーの MFA を追加する」と表示...
hisuiblog.com
2022.09.26

 

アカウントエイリアス設定

 

AWSにログインする際に12ケタのアカウントIDが必要になります。

ただ、12ケタの数字は覚えづらく使いにくいです。

 

なので、アカウントエイリアス(任意の文字列)を設定します。

アカウントIDの代わりにログインする際に使用できます。

 

設定方法はIAM ダッシュボードへ行き、アカウントエイリアスの「作成」をクリックします

 

表示されたダイアログに文字列を入力し「エイリアスを作成」をクリックします

 

設定したエイリアスがIAM ダッシュボードに表示されればOKです。

次回以降のログイン時に使ってみてください!

 

【必須】クレデンシャル削除

 

AWSアカウントのクレデンシャルを使用するとなんでもできてしまいます

IAMユーザーを使用するため、AWSアカウントのクレデンシャルは不要です

 

おそらくクレデンシャルは作成されていないと思いますが、確認してみてください

もしあれば、削除しましょう!

 

【必須】IAMパスワードポリシー修正

 

初期のパスワードポリシーは強度が低いため、脆弱性につながります。

なので、強固なポリシーへ変更しセキュリティを向上させます

 

IAMダッシュボード > アカウント設定へ遷移し、パスワードポリシーを編集します

 

カスタム」を選択し、要件に合わせて文字数の指定やチェックを入れていきます

変更を保存」をクリックし、設定を完了します

 

IAMユーザの請求情報へのアクセス許可

 

デフォルトではAWSアカウントのみが請求情報を閲覧できます。

ただ、IAMユーザーを使用する機会が多いと思うので、IAMユーザーで請求情報を見たいです。

 

AWSアカウントでログインして右上のアカウント名をクリックし、

アカウント」をクリックします

 

遷移先で「IAM ユーザーおよびロールによる請求情報へのアクセス」を編集し有効化します

 

下記を参考に必要な権限を付与したIAMユーザーで請求情報を閲覧できます

Identity-based policy with AWS Billing - AWS Billing
By default, users and roles don't have permission to create or modify Billing resources. They also can't perform tasks by using the AWS Management Console, AWS ...
docs.aws.amazon.com

 

請求コンソール (Billing) の設定

 

  • PDF 請求書を E メールで受け取る
  • AWS 無料利用枠アラート

上記のどちらかを受け取りたときに設定します

 

次項のAWS Budgetsで代替できるため
予算額を超えたときのCloudWatch 請求アラートは無効で大丈夫です

 

AWS Billing > 請求設定 に遷移し必要な通知を有効化していきます

 

AWS Budgets による予算超過通知設定

 

クラウドは従量課金制のため、気づかないうちに高額なコストになってしまうのが怖いです

なので、予算額を超えたらメールが来るように設定します

 

AWS Budgets へ遷移し、「予算の作成」をクリックします

 

予算の設定は「テンプレートを使用」します

 

テンプレートは「月次コスト予算」を選択します

 

予算額」と「Eメールの受信者」を記載し、「予算を作成」します

 

設定が完了すると、AWSからメールが届きます

 

メールのほかにもChatBotを使用できたりもするのでいろいろ試してみてください

 

マネジメントコンソールサインインの IP アドレス制限

 

IP制限をしておくと、もしIAMユーザーが流出した場合にも備えられます

(まず、認証情報を流出させてはいけないという前提です)

 

こちらを参考に下記IAMポリシーを作成し、それをIAMユーザーにアタッチします

 

***.***.***.*** は設定したいIPアドレスに置き換えてください

 

【必須】Admin用IAMユーザ作成

 

下記を参考にIAMユーザーを作成します

【AWS】【IAM】IAMユーザーを作成しよう
AWSのアカウントを作成したあとには、IAMユーザの作成をオススメします 作成理由や方法をご紹介します アカウント作成方法は下記公式サイトをご参考ください IAMユーザー作成理由 ...
hisuiblog.com
2022.09.27

 

先ほど作成したIP制限用のIAMポリシーをAdminグループにアタッチしておくと、

セキュリティが向上します

 

CloudTrail有効化

 

デフォルトで90日間のイベント履歴を無料で閲覧できます。

CloudTrail InsightsやLake、S3へのログの保存は有料(無料利用枠あり)となります

料金 - AWS CloudTrail | AWS
aws.amazon.com

 

CloudTrailへ遷移し、「証跡の作成」をクリックします

 

証跡の作成」をクリックします

 

Config有効化

 

AWSリソースの情報を管理するサービスです。

リソースの変更履歴を追うことができ、障害が発生した際の原因調査に役立ちます

 

有料となります

料金 - AWS Config | AWS
aws.amazon.com

 

GuardDuty有効化&通知設定

 

AWS環境を監視し、悪意のあるアクティビティや不正な動作を検知するサービス。

 

有料となります。

料金 - Amazon GuardDuty | AWS
Amazon GuardDuty の料金は、分析された AWS CloudTrail イベントの数と、分析された Amazon VPC フローログと DNS ログデータの量に基づいています。
aws.amazon.com

 

GuardDutyに遷移し、「今すぐ始める」をクリックします

 

GuardDutyを有効にする」をクリックします

 

デフォルト VPC の削除

 

各リージョンに1つずつVPCが作成されています。

自身でVPCを作成する場合にはデフォルトVPCは不要になります。

また、使用しないリージョンにおいても不要のため削除しておきます。

 

削除方法は↓を参考にしてみてください

デフォルト VPC を削除/復旧する手順を教えてください | DevelopersIO
dev.classmethod.jp

 

Amazon EC2 (EBS) のデフォルト暗号化設定

 

リージョン単位の設定になります。

 

こちらを参考に設定していきます。

設定したいリージョンでEC2 コンソールを開きます。

アカウント属性 > Data protection and security をクリックします

 

EBS暗号化の「管理」をクリックします

 

有効化にチェックを入れて、EBS暗号化を更新する」をクリックします

 

Amazon S3 のブロックパブリックアクセス設定

 

インターネットからS3にアクセスできないようにブロックパブリックアクセス設定があります。

バケット単位で設定できるのですが、アカウント単位でも設定することができます。

基本的にインターネットからS3へのアクセスは許可しないので、設定しておきましょう!

 

こちらを参考に設定していきます

S3のコンソールにアクセスし、

このアカウントのブロックパブリックアクセス設定」->「編集」をクリックします

 

要件に合わせてチェックを入れ、「変更の保存」をクリックします

 

参考

 

【資料公開】AWSアカウントで最初にやるべきこと 〜2022年6月版〜 | DevelopersIO
AWS で最初にやることについて「ログ・モニタリング」「セキュリティ」「契約・コスト」の観点で紹介します。
dev.classmethod.jp
[AWS]AWSアカウント取得後にやるべき9つの設定
zenn.dev

コメント

タイトルとURLをコピーしました