AWSでアカウントを作成したまま半年間ほったらかしてたんですが、やりたいことが出てきたので使ってみることにしました…記事はそこら中にあるけど自分向けのメモ。

VPSの設定&インスタンスをとりあえず作るまでやったんですが、記事として分割したいので今回書くのはアカウント周りの設定だけ…

目次

  1. なぜAWSなのか
  2. アカウントのセキュリティ
    1. 仮想MFA冗長化
    2. IAM
      1. パスワードを設定する
      2. 仮想MFA設定
      3. サインインURLをカスタマイズ
    3. サインインを監視する
    4. 請求額のアラーム設定
  3. その他

なぜAWSなのか


VPSと迷ったというよりは現時点でも迷ってるんですが、下記の理由でとりあえずAWSを使ってみることにしました。

  • 会社で使いそうな雰囲気がでてきている
  • (上記と重複するけど)スキルとして求められるシーンが増えてきている

アカウントのセキュリティ


やったことを雑に書きます。

仮想MFA冗長化

いわゆる2段階認証です。Google Authenticatorを使ってます。
AWSアカウント作成時点でスマホ1台で有効化していたのですが、壊れた&無くした場合にサインインできなくなったら困ります。
ですので、再作成してスマホ2台のうちどちらからでも認証コードを確認できるようにしました。

Google Authenticatorで複数のデバイスから仮想MFAの認証コードを確認できるようにするにはQRコード表示時にそれぞれのデバイスでQRコードを読み取ります。

ちなみにデバイスが壊れてサインインできなくなった場合の経験談がQiitaに投稿されていました。

AWSのハードウェアMFAデバイスが壊れた話

どうでもいいですが、私は2段階認証を設定しているサービスは全てスマホ2台のどちらからでも認証コードの確認と許可ができるようにしています。

IAM

AWSアカウントは普段の運用では使用しないのが一般的なようです。
理由を説明しているサイトがあまりなかったので、スッ飛ばそうかと思ったのですが、下記記事のAWSアカウントは使わないを見て納得できました。

AWS 権限管理のベストプラクティスについて考えてみた

パスワードを設定する

デフォルトでは設定されていないのでIAMのパスワードを設定しました。

仮想MFA設定

IAMごとにMFAも設定する必要があるので、これもスマホ2台で認証コード確認できるようにしました。

サインインURLをカスタマイズ

IAMでサインインする場合は専用のURLからサインインする必要がありますが、デフォルトは長ったらしいので変更します。

ダッシュボード -> IAM -> カスタマイズ で変更できます。

変更後のサインインURLは下記のようになります。

1
https://カスタマイズで入力した文字列.signin.aws.amazon.com/console

サインインを監視する

CloudTrailというのと、CloudWatch Logsでサインインのログを監視できるようにし…ようと思ったんですが、先にS3のインスタンスを作成する必要があるようでした。(ログをS3のストレージに保存するようです)

ですので、まだこれはやってません。

設定は下記の記事に記述してあります。

CloudTrail と CloudWatch Logs を使って Management Console のセキュリティを上げる

請求額のアラーム設定

チキンなので月10$で設定しました。
いや、実際これくらい超えたら困るし…

その他


この後、VPCの設定とインスタンスをとりあえず作成するとこまでやったのですが…
それはそのうち書こうと思います。

慣れないことやったらスゴイつかれる…