【AWS】Day1対応
Contents
はじめに
業務でAWSを触り始めたので、ついでに「AWS 認定ソリューションアーキテクト」を取得しようかと思い、学習内容のアウトプットを行っていこうと思います。
とりあえず今回はDay1対応についてまとめていきます。
AWSのDay1対応
- AWS利用開始時(Day1)に実施すべき設定のこと
- 設定すべき内容としては、大きく分けて以下のようなカテゴリーがある
- セキュリティ
- コスト最適化
- 信頼性
MFAを設定する
- MFA(Multi Factor Authentication:多要素認証)とは、単にユーザー名とパスワードだけで認証するのではなく、追加の信用情報(SMSに送られる確認コードとか)を要求することでセキュリティを強化する認証方式のこと。
- AWSの IAM ダッシュボード から設定を行える
- Google Authenticator(Chromeの拡張機能)などを利用し、MFAの設定が行える
- 以下設定手順
- Google AuthenticatorをPCの拡張機能に追加
- AWSのIAMダッシュボードを開く
- セキュリティ認証情報画面を開く(セキュリティアラートのMFAを有効をクリックすれば開ける)
- 多要素認証(MFA)欄にあるMFAの有効化をクリック
- 仮想MFAデバイスを選択して続行
- QRコードの表示を行う
- 表示されたら、QRコードをGoogle Authenticatorで読み取る
- 連続して表示されるコード入力
- 完了
パスワードポリシーを変更する
- パスワードポリシーとは、ユーザーアカウントのパスワードに使用できる文字数や、文字の組み合わせなどに関する条件のこと。
- AWSのIAMダッシュボードから行える
- 以下設定手順
- AWSのIAMダッシュボードを開く
- 左側のメニューからアカウント管理を選択
- パスワードポリシー画面が開いたら、「パスワードポリシーを変更する」ボタンをクリック
- 任意のパスワードポリシーを設定する(自社のパスワードポリシーに合わせる)
- 完了
IAMユーザーを作成する
- ルートユーザー(最初に作成したアカウント)では、全てのサービスとリソースに対する権限を持っているため、曲利用しない。(一部ルートアカウントが必要になる操作もある)
- そのため、ルートアカウントではなく、IAMを利用する。
- IAMとは、AWS Identity and Access Managementの略。
- IAMからユーザーの追加を行い、IAMユーザーにAWSの操作を行う。
- IAMユーザーの追加方法は以下の通り
- AWSのIAMダッシュボードを開く
- メニューから、アクセス管理>ユーザーを選択
- 遷移先ページの「ユーザーを追加」ボタンをクリック
- ユーザー名を入力、AWS アクセスの種類を選択し、「次のステップ:アクセス権限」ボタンをクリック
- 必要となるアクセス権限を選択、もしくは作成し、「次のステップ:タグ」ボタンをクリック(最初はよくわからないので、既存のポリシーとかを利用するでいいと思う)
- 分類分けしたいのであれば、タグを追加し(なくても大丈夫)、「次のステップ:確認」ボタンをクリック
- 内容確認して、問題なければ「ユーザーの作成」ボタンをクリック
- 完了
グループを作成する
- IAMユーザーを作成する手順時に、アクセス権限を付与する箇所があるが、全てのユーザーを個別に設定するのは面倒なため、グループを作成することで一括でアクセス権限を管理する。
- グループ作成手順は以下の通り
- AWSのIAMダッシュボードを開く
- メニューから、アクセス管理>グループを選択
- 遷移先ページの「新しいグループの作成」ボタンをクリック
- グループ名を入力し、「次のステップ」ボタンをクリック
- アタッチするポリシーを選択して、「次のステップ」ボタンをクリック
- 内容確認して、問題なければ「グループの作成」ボタンをクリック
- 完了
- グループにユーザーを追加する場合には、グループのアクションから行うか、新規ユーザー作成時にグループへと追加できる。
AWS CloudTrailでロギング
- Cloud Trailとは、アカウントのオペレーションと、APIコールをトラッキングしてログを取得するサービスのこと。
- ログファイルは暗号化されてS3に保存される。
- デフォルトでは90日間ログが保存される。
- セキュリティインシデントが発生した際などの分析に活用できる。
- 設定手順は以下の通り
- AWSのCloudTrailのダッシュボードを開く
- メニューの 証跡 を選択
- 遷移先ページの「証跡の作成」ボタンをクリック
- 証跡属性の選択画面で、以下の項目を入力 or 選択し、「次へ」ボタンをクリック
- 証跡名
- ストレージの場所
- 証跡ログバケットおよびフォルダ:年月日などを含めて被らない名称にする
- ログファイルの SSE-KMS 暗号化:ログファイル自体を暗号化して保存する
- AWS KMS カスタマー管理の CMK:KMSで暗号化するための鍵
- ログファイルの検証 :ログファイルが正常なものか検証してくれる
- SNS 通知の配信:異常が発生した際に通知してくれる
- CloudWatch Logs:取得したデータをCloudWatchに送り、データの可視化を行える
- ログイベントの選択でどのイベントのログを取得するか選択し、「次へ」ボタンをクリックする
- 管理イベント:AWSリソースで実行された管理オペレーション
- データイベント:リソース上またはリソースないで実行されたリソース操作
- insightsイベント:アカウントの異常なアクティビティ、エラー
- 設定内容を確認して、問題なければ「証跡の作成」ボタンをクリックする
- 完了
請求アラートを設定する
- 請求アラートとは、一定の料金位達した場合に通知してくれる。
- 料金の使い過ぎに気づける。
- 請求ダッシュボードから有効化する。
- 手順は以下の通り
- ルートアカウントでログインする
- 右上の名前をクリックして、マイアカウントをクリックする
- 下の方に行くと、IAMユーザー/ロールによる請求情報へのアクセスから、IAMアクセスのアクティブ化をクリックして更新
- IAMユーザーでログイン(ルートアカウントでそのまま設定しても問題なし)
- 名前のところクリックして、マイ請求ダッシュボードを開く
- メニューのBillingの設定から、「無料仕様枠の使用アラートを受信する」、「請求アラートを受け取る」にチェックを入れて、受信するメールアドレスを入力したら、設定の保存をクリック
- CloudWatchダッシュボードを開く
- リージョンをバージニア北部に切り替える
- メニューから、請求をクリック
- 遷移先画面の「アラームの作成」をクリック
- メトリクスでデータのトリガー条件を設定する
- 条件で、どういった条件でアラームを通知するのか設定し、次へをクリック
- アクションの設定で、通知先等の設定を行う(金額アラートであれば通知先の設定のみでOK)次へをクリック
- 名前と説明を入力して、次へをクリック
- 設定内容確認して、問題なければアラームの作成をクリック
- 設定したアドレス宛にメールで確認メールが来るので、「Confirm subscription」をクリックする
- 完了