【AWS】Day1対応

はじめに

業務でAWSを触り始めたので、ついでに「AWS 認定ソリューションアーキテクト」を取得しようかと思い、学習内容のアウトプットを行っていこうと思います。
とりあえず今回はDay1対応についてまとめていきます。

AWSのDay1対応

  • AWS利用開始時(Day1)に実施すべき設定のこと
  • 設定すべき内容としては、大きく分けて以下のようなカテゴリーがある
    • セキュリティ
    • コスト最適化
    • 信頼性

MFAを設定する

  • MFA(Multi Factor Authentication:多要素認証)とは、単にユーザー名とパスワードだけで認証するのではなく、追加の信用情報(SMSに送られる確認コードとか)を要求することでセキュリティを強化する認証方式のこと。
  • AWSの IAM ダッシュボード から設定を行える
  • Google Authenticator(Chromeの拡張機能)などを利用し、MFAの設定が行える
  • 以下設定手順
    1. Google AuthenticatorをPCの拡張機能に追加
    2. AWSのIAMダッシュボードを開く
    3. セキュリティ認証情報画面を開く(セキュリティアラートのMFAを有効をクリックすれば開ける)
    4. 多要素認証(MFA)欄にあるMFAの有効化をクリック
    5. 仮想MFAデバイスを選択して続行
    6. QRコードの表示を行う
    7. 表示されたら、QRコードをGoogle Authenticatorで読み取る
    8. 連続して表示されるコード入力
    9. 完了

パスワードポリシーを変更する

  • パスワードポリシーとは、ユーザーアカウントのパスワードに使用できる文字数や、文字の組み合わせなどに関する条件のこと。
  • AWSのIAMダッシュボードから行える
  • 以下設定手順
    1. AWSのIAMダッシュボードを開く
    2. 左側のメニューからアカウント管理を選択
    3. パスワードポリシー画面が開いたら、「パスワードポリシーを変更する」ボタンをクリック
    4. 任意のパスワードポリシーを設定する(自社のパスワードポリシーに合わせる)
    5. 完了

IAMユーザーを作成する

  • ルートユーザー(最初に作成したアカウント)では、全てのサービスとリソースに対する権限を持っているため、曲利用しない。(一部ルートアカウントが必要になる操作もある)
  • そのため、ルートアカウントではなく、IAMを利用する。
  • IAMとは、AWS Identity and Access Managementの略。
  • IAMからユーザーの追加を行い、IAMユーザーにAWSの操作を行う。
  • IAMユーザーの追加方法は以下の通り
    1. AWSのIAMダッシュボードを開く
    2. メニューから、アクセス管理>ユーザーを選択
    3. 遷移先ページの「ユーザーを追加」ボタンをクリック
    1. ユーザー名を入力、AWS アクセスの種類を選択し、「次のステップ:アクセス権限」ボタンをクリック
    2. 必要となるアクセス権限を選択、もしくは作成し、「次のステップ:タグ」ボタンをクリック(最初はよくわからないので、既存のポリシーとかを利用するでいいと思う)
    3. 分類分けしたいのであれば、タグを追加し(なくても大丈夫)、「次のステップ:確認」ボタンをクリック
    4. 内容確認して、問題なければ「ユーザーの作成」ボタンをクリック
    5. 完了

グループを作成する

  • IAMユーザーを作成する手順時に、アクセス権限を付与する箇所があるが、全てのユーザーを個別に設定するのは面倒なため、グループを作成することで一括でアクセス権限を管理する。
  • グループ作成手順は以下の通り
    1. AWSのIAMダッシュボードを開く
    2. メニューから、アクセス管理>グループを選択
    3. 遷移先ページの「新しいグループの作成」ボタンをクリック
    4. グループ名を入力し、「次のステップ」ボタンをクリック
    5. アタッチするポリシーを選択して、「次のステップ」ボタンをクリック
    6. 内容確認して、問題なければ「グループの作成」ボタンをクリック
    7. 完了
  • グループにユーザーを追加する場合には、グループのアクションから行うか、新規ユーザー作成時にグループへと追加できる。

AWS CloudTrailでロギング

  • Cloud Trailとは、アカウントのオペレーションと、APIコールをトラッキングしてログを取得するサービスのこと。
  • ログファイルは暗号化されてS3に保存される。
  • デフォルトでは90日間ログが保存される。
  • セキュリティインシデントが発生した際などの分析に活用できる。
  • 設定手順は以下の通り
    1. AWSのCloudTrailのダッシュボードを開く
    2. メニューの 証跡 を選択
    3. 遷移先ページの「証跡の作成」ボタンをクリック
    4. 証跡属性の選択画面で、以下の項目を入力 or 選択し、「次へ」ボタンをクリック
      • 証跡名
      • ストレージの場所
      • 証跡ログバケットおよびフォルダ:年月日などを含めて被らない名称にする
      • ログファイルの SSE-KMS 暗号化:ログファイル自体を暗号化して保存する
      • AWS KMS カスタマー管理の CMK:KMSで暗号化するための鍵
      • ログファイルの検証 :ログファイルが正常なものか検証してくれる
      • SNS 通知の配信:異常が発生した際に通知してくれる
      • CloudWatch Logs:取得したデータをCloudWatchに送り、データの可視化を行える
    5. ログイベントの選択でどのイベントのログを取得するか選択し、「次へ」ボタンをクリックする
      • 管理イベント:AWSリソースで実行された管理オペレーション
      • データイベント:リソース上またはリソースないで実行されたリソース操作
      • insightsイベント:アカウントの異常なアクティビティ、エラー
    6. 設定内容を確認して、問題なければ「証跡の作成」ボタンをクリックする
    7. 完了

請求アラートを設定する

  • 請求アラートとは、一定の料金位達した場合に通知してくれる。
  • 料金の使い過ぎに気づける。
  • 請求ダッシュボードから有効化する。
  • 手順は以下の通り
    1. ルートアカウントでログインする
    2. 右上の名前をクリックして、マイアカウントをクリックする
    3. 下の方に行くと、IAMユーザー/ロールによる請求情報へのアクセスから、IAMアクセスのアクティブ化をクリックして更新
    4. IAMユーザーでログイン(ルートアカウントでそのまま設定しても問題なし)
    5. 名前のところクリックして、マイ請求ダッシュボードを開く
    6. メニューのBillingの設定から、「無料仕様枠の使用アラートを受信する」、「請求アラートを受け取る」にチェックを入れて、受信するメールアドレスを入力したら、設定の保存をクリック
    7. CloudWatchダッシュボードを開く
    8. リージョンをバージニア北部に切り替える
    9. メニューから、請求をクリック
    10. 遷移先画面の「アラームの作成」をクリック
    11. メトリクスでデータのトリガー条件を設定する
    12. 条件で、どういった条件でアラームを通知するのか設定し、次へをクリック
    13. アクションの設定で、通知先等の設定を行う(金額アラートであれば通知先の設定のみでOK)次へをクリック
    14. 名前と説明を入力して、次へをクリック
    15. 設定内容確認して、問題なければアラームの作成をクリック
    16. 設定したアドレス宛にメールで確認メールが来るので、「Confirm subscription」をクリックする
    17. 完了