AWS

【AWS】AWSアカウント作成後に絶対にやるべき初期設定5項目:後半

【AWS】AWSアカウント作成後に絶対にやるべき初期設定5項目:後半

AWSアカウントを作成したあとに最初に必ずやっておくべき初期設定の後半です。

前半の設定がまだ終わっていない場合は以下から設定してみてください。

関連記事
【AWS】AWSアカウント作成後に絶対にやるべき初期設定5項目:前半
【AWS】AWSアカウント作成後に絶対にやるべき初期設定5項目:前半

続きを見る

 

本記事の内容

  • マイアカウント設定の変更
  • Cost Management(コスト管理)の設定
  • Trusted Advisorの設定
  • ルートアカウントからIAMユーザーに切り替え
  • その他のセキュリティに関するAWSサービス紹介

 

準備

「ルートアカウント」でAWSマネジメントコンソールにサインインします。

ルートアカウントはAWSアカウントを作成した時に登録したメールアドレスでしたね。

 

設定3. マイアカウント設定の変更

ここで紹介するいくつかはルートアカウントでしか設定できません。IAMユーザーに切り替える前に設定しておきましょう。

 

AWSマネジメントコンソールの右上に表示されている「アカウント名」→「マイアカウント」をクリックします。

マイアカウント

 

支払い通貨をドルから日本円へ変更

AWSの料金はデフォルトではドルで請求されるので、日本円に変更しましょう。外貨取扱手数料を節約できます。

注意点として、日本円に変更できるクレジットカードはVISAとMasterカードのみになります。

 

「お支払い通貨の設定」→「編集」をクリックします。

お支払い通貨の設定1

 

「お支払い通貨の選択」で「JPY - Japanese Yen」を選択し「更新」をクリックします。

お支払い通貨の設定2

 

代替の連絡先

AWSアカウント作成時に登録したメールアドレス以外に、以下のタイプごとに別の連絡先を設定できます。

  • 請求:AWS料金の請求書などの通知
  • 操作:AWSの操作に関する通知
  • セキュリティ:不正使用された時や認証情報が漏洩したときなどの通知

別のメールアドレスや電話番号に通知したいときは設定しておくと便利です。もし連絡先メールアドレスは1つで問題ない場合は、この手順は設定しなくても大丈夫です。

 

「代替の連絡先」→「編集」をクリックします。

代替の連絡先1

 

全項目が入力必須となります。全て入力し「更新」をクリックします。

代替の連絡先2

 

秘密の質問の設定

AWSサポートとやりとりする際の本人確認で必要となります。例えば、ルートアカウントのMFAを紛失した場合の解除申請などですね。

 

「秘密の質問の設定」→「編集」をクリックします。

秘密の質問の設定1

 

自分の好きな質問を3つ選択しそれぞれの答えを記入し、「更新」をクリックします。

入力した「質問」と「答え」は忘れないように、どこかにメモして保存しておきましょう。

秘密の質問の設定2

 

IAMユーザーによる請求情報へのアクセス許可

デフォルトではルートアカウントしか請求情報にアクセスできません。日常的に使用するIAMユーザーにもアクセスを許可しておきましょう。

 

「IAM ユーザー/ロールによる請求情報へのアクセス」→「編集」をクリックします。

IAM ユーザー・ロールによる請求情報へのアクセス1

 

「IAMアクセスのアクティブ化」にチェックを入れ「更新」をクリックします。

IAMアクセスのアクティブ化

 

設定4. Cost Management(コスト管理)の設定

コスト関連についても、いくつか設定しておきます。

 

コストエクスプローラーの有効化

Cost Explorer(コストエクスプローラー)とはAWS料金と使用状況をグラフで確認できるサービスです。

 

左側のメニュー「Cost Explorer」→「Cost Explorerを起動」をクリックします。

Cost Explorer(コストエクスプローラー)1

 

ブラウザの別タブが起動して以下が表示されれば設定完了です。24時間後に再度Cost Explorerの画面確認してみましょう。このタブは閉じて大丈夫です。

AWSコスト管理へようこそ

 

Budgetsの設定

Budgetsとは予算や予算計画という意味ですね。

「自分で決めた予算を超える場合にアラートメールを送信する」といった使い方ができます。Budgetsを活用して「気づかないまま余計な料金が発生していた」ということを防ぎましょう。

「CloudWatch(監視サービス)の請求アラーム」というサービスからも、設定した予算を超えた場合にアラートメール送信することができます。

しかし、Budgetsのほうが後発サービスで細かい設定ができます。便利なBudgetsのほうを使用しましょう。

 

今回は予算を1ドルに設定してみます。

AWSマネジメントコンソールの右上に表示されている「アカウント名」→「マイアカウント」をクリックします。

左側のメニュー「Budgets」→「予算を作成する」をクリックします。

Budgets設定1

 

「コスト予算」→「予算を設定」をクリックします。

Budgets設定2

 

「予算を設定」では以下を参考に設定してみてください。

  • 名前:月別AWS全体予算
  • 間隔:月別
  • Budget effective dates:定期予算
  • 開始月:現在の月

Budgets設定3

 

「毎月の予算を指定する」では以下を参考に設定してみてください。予算額は数字の「1」を入力すると自動的に「$1」と表示されます。

  • 固定
  • 予算額:1

Budgets設定4

 

「追加の予算パラメータを設定 - オプション」はそのままで大丈夫です。右下の「しきい値を設定する」をクリックします。

 

「しきい値を設定する」画面では以下を参考に設定し、右下の「予算の確認」をクリックします。

  • 次の基準に基づいてしきい値を設定:実際のコスト
  • アラートのしきい値:80
  • Eメールの受信者:自分のメールアドレス

Budgets設定5

 

「予算の確認」画面で内容を確認し、右下の「作成」をクリックします。

Budgets設定6

 

Cost & Usage Reportsの設定

コストエクスプローラーより詳しくAWSの料金と使用状況を確認できるサービスです。

 

左側のメニュー「Cost & Usage Reports」→「レポートの作成」をクリックします。

Cost & Usage Reports1

 

「レポート名」は以下の文字・記号だけ使用できます(例:MyAWS-CostReport)。入力したあと右下の「次へ」をクリックします。

  • 英数字
  • ! - _ . * ' ( )

Cost & Usage Reports2

 

レポートを保存するS3バケットを作成します。「設定」をクリックします。

Cost & Usage Reports3

 

「S3バケット名」は以下のような入力規則があります。

  • 英語小文字
  • 数字
  • ドット (.)、ハイフン (-)
  • 文字または数字で開始および終了する必要がある
  • 同じリージョン内でバケット名を重複することができない

 

「S3バケット名」を入力、「リージョン」で「アジアパシフィック(東京)」を選択し「次へ」をクリックします。

Cost & Usage Reports4

 

「このポリシーが正しいことを確認しました」にチェックを入れ、右下の「保存」をクリックします。

Cost & Usage Reports5

 

「レポートパスのプレフィックス」は以下の文字だけ使用できます。(例:MyAWS-CostReport)

  • 英語小文字
  • 英語大文字
  • 数字

 

「レポートパスのプレフィックス」を入力したあと、他の設定はそのままで「次へ」をクリックします。

Cost & Usage Reports6

 

「確認」画面で内容を確認し、右下の「確認して完了」をクリックします。

Cost & Usage Reports7

 

Billing の設定

毎月3日前後に、前月のAWS利用についての請求書データ(PDFファイル)をメールで受け取ることができます。

 

左側のメニュー「Billing の設定」→「E メールで PDF 版請求書を受け取る」にチェックをいれる→「設定の保存」をクリックします。

Billing の設定

 

コストエクスプローラーの設定

「コストエクスプローラーの有効化」手順を行ってから24時間以上経過したあとに設定できます。

左側のメニューの「Cost Explorer」→「Cost Explorerを起動」をクリックします。

コストエクスプローラーの設定1

 

左側のメニュー「設定」をクリック→「時間単位とリソースレベルのデータ」と「Amazon EC2 リソースの推奨事項を受け取る」にチェックを入れる→「設定の保存」をクリックします。

コストエクスプローラーの設定2

 

設定5. Trusted Advisor

Trusted Advisorは以下5つの観点から、自分のAWS環境をAWSがチェックし推奨設定を教えてくれるサービス。無料のAWSベーシックプランだと一部のTrusted Advisor項目しか表示されませんが、せっかくなので利用しましょう。

①コスト最適化 (ベーシックプランは利用不可能)

②パフォーマンス (ベーシックプランは利用不可能)

③セキュリティ (ベーシックプランは一部のみ使用可能)

④フォールトトレランス(耐障害性)(ベーシックプランは利用不可能)

⑤サービスの制限

 

Trusted Advisorはデフォルトで有効になっており、Trusted Advisorの画面からAWSの推奨設定が確認できます。オレンジや赤になっている項目は、見直したほうが良い設定となります。

メール通知を設定することで、その推奨設定の内容を毎週メールで受け取ることができます。ぜひ設定しておきましょう。

 

AWSマネジメントコンソールの画面上部中央に検索ボックスがあります。そこに「trusted」と入力します。

「サービス」に表示された「Trusted Advisor」をクリックします。

Trusted Advisorの検索

 

左側のメニューの「通知設定」をクリックします。

「受信者」は使用可能な自分のメールアドレスであれば何でも大丈夫です。どれかにチェックを入れましょう。僕は「オペレーションに関する連絡先」を選択しました。

「通知の言語」は「日本語」を選択し、「メールの設定を保存します。」をクリックします。

Trusted Advisor

 

ルートアカウントをサインアウトしてIAMユーザーに切り替え

これで設定は全て完了です。今後はルートアカウントは基本的に使用しません。

ルートアカウントはサインアウトし、前半の記事で作成したIAMユーザでサインインします。

事前に、記事の前半でIAMユーザーを作成した後にパソコンにダウンロードした「new_user_credentials.csv」ファイルをExcelかテキストエディタで開いておきます。

 

AWSマネジメントコンソールの右上に表示されている「アカウント名」→「サインアウト」をクリックします。

「もう一度ログインする」か「コンソールにサインイン」をクリックします。

サインイン画面で「IAMユーザー」をクリック、アカウントIDを入力、「このアカウントを記憶する」にチェックを入れ「次へ」をクリックします。

アカウントIDは「new_user_credentials.csv」の「https://123456789012.signin.aws.amazon.com/console」における数字部分になります。

IAMユーザーでサインイン1

 

「new_user_credentials.csv」から「ユーザー名」と「パスワード」をコピー&ペーストし、「サインイン」をクリックします。

IAMユーザーでサインイン2

 

Google Authenticato‪r‬(Google 認証システム)を起動、IAMユーザーの「MFAコード」を入力し、「送信」をクリックします。

ルートアカウントのMFAコードを入力しないように注意してください。

IAMユーザーでサインイン3

 

サインイン後に右上のリージョンを確認して「東京」となっていることを確認。もし別のリージョンが表示されている場合は、矢印をクリックして「東京」を選択します。

これで設定は以上となります。

 

その他のセキュリティに関する設定について

AWSにはさまざまなセキュリティに関するサービスがあります。そのいくつかを紹介します。

しかし、結論として、以下に紹介するサービスはAWSを個人利用する分には設定不要だと考えています。

理由はこれらのサービスを使用すると料金が発生するためです。(AWSを個人利用する際はなるべく料金を発生させないようにしたい、という人が多いと思います。)

 

もし以下のどれかにあてはまる場合は、これから紹介するサービスについてWeb情報などを参考に設定してみてください。

  • AWSを個人利用しているが、勉強のためなら多少の料金は発生してもいい
  • AWSを個人利用しているが、AWSで発生した料金は会社に教育費用として請求できる
  • AWSを会社業務で利用している。もちろん料金は会社負担

 

CloudTrail

CloudTrailはAWSにおける操作ログを記録するサービスです。設定することで、もし自分のAWSを誰かに不正利用されたときに、誰が・いつ・何をしたか確認できます。

CloudTrailはログの保存先にS3というサービスを使うのですが、CloudTrailを有効にしただけでS3の使用料金が多少発生します。

 

Config

ConfigはEC2などのAWSリソースに変更があった際にその内容を記録、問題がある場合は通知してくれるサービスです。

 

GuardDuty

GuardDutyはAWSにおける不正な操作を検知、管理者に通知するサービスです。

30日間の無料期間がありますが、その後は有料となります。

 

Macie

Macie (メイシー) は、全S3バケットに対して自然言語処理 (NLP) を使用して検出・分類し、そのデータに対してどこから、誰が、どれくらいアクセスしたのかを監視するサービスです。

GuardDuty同様に30日間の無料期間がありますが、その後は有料となります。

 

Security Hub

Security Hubは他のセキュリティに関するAWSサービスの情報をまとめて確認ができるサービスです。

GuardDuty同様に30日間の無料期間がありますが、その後は有料となります。

 

WAF

WAFはアプリケーションレベルのファイアウォールになります。

 

AWSアカウント作成後に絶対にやるべき初期設定5項目【後半】:まとめ

これでAWSアカウント作成後に絶対にやるべき初期設定が全て完了しました。

次はVPCを作成してみましょう。こちらの記事をご覧ください。↓

関連記事
【AWS】VPCを設定して自分だけのネットワーク環境を構築してみよう
【AWS】VPCを設定して自分だけのネットワーク環境を構築してみよう

続きを見る

-AWS

© 2022 ふにノート