RitoLabo

AWSアカウントの詳細設定(IAM、CloudTrailなど)

  • 公開:
  • 更新:
  • カテゴリ: AWS
  • タグ: AWS,Security,IAM,CloudTrail,S3

意外と気づかず忘れてしまいがちなアカウントの詳細設定を行います。 この部分は運用しながら監視し随時調整していく部分ではありませんので、 アカウントを作成したらまず行ってしまいましょう。 安全なAWS運用の為にも必ずやっておきたい部分ではありますが、設定自体は簡単です。
今回の作業は以下の通りです。

  1. 代替連絡先の設定
  2. 秘密の質問の設定
  3. 通知設定
  4. IAMユーザへの切り替えとリージョン設定
  5. AWS CloudTrailの設定

では早速始めましょう。rootアカウントで進めます。

代替連絡先の設定

基本的に通知等のメールはrootアカウントのメールアドレスへ送信されますが、 それ以外にも送信先としてメールアドレスを設定する事ができます。
重要なメールの見落としなどを防ぐためにも、必ず設定しておきましょう。
まずはアカウント設定を開きます。
右上のユーザ名のリンクを叩きメニューを開いたら、一番上にある「アカウント」をクリックします。

アカウント設定を開く

アカウント設定へ移動したら下にスクロールしていき、「代替の連絡先」の右側にある「編集」をクリックします。

代替の連絡先

フォームが表示されますので、 「請求」「操作」「セキュリティ」それぞれにメールアドレスなど必要な情報を入力し、 「更新」ボタンをクリックします。

代替連絡先のフォーム入力

「代替の連絡先を保存しました」 と表示が出たら、設定完了です。

秘密の質問の設定

秘密の質問ってAWSに限らず、何かのアカウントを開設する際にはよく設定しますよね。
AWSではここを設定しておくと、電話での問い合わせや、MFAの解除申請などの時に秘密の質問を聞いてくれるようになります。
秘密の質問を使う時は大抵、アカウントの操作の時でしょうから、ここを設定しておく事で、より安全な運用が行えるようになります。
ただし一点、注意していただきたいのが、
「秘密の質問は、一度設定すると削除できない」
という事です。(変更はできます)
ですので、設定する際はどこかにメモを取っておくとかして、忘れないように注意してください。 忘れてしまうとアカウント操作が出来なくなってしまいます。

では行っていきます。まずはアカウント設定を開きます。
右上のユーザ名のリンクを叩きメニューを開いたら、一番上にある「アカウント」をクリックします。

アカウント設定を開く

アカウント設定へ移動したら下にスクロールしていき、「秘密の質問の設定」の右側にある「編集」をクリックします。

秘密の質問の設定

秘密の質問を3つ設定するフォームが表示されますので、入力し、「更新」をクリックします。

「秘密の質問を」保存しました。と表示が出たら、設定は完了です。

通信設定

AWSアカウントを作成すると、ちょこちょこと色々なメールがアマゾンから送られてきます。 もしそれらのマーケティング系のメールを止めたり制御したい場合は、ここから行えます。
まずはアカウント設定を開きます。
右上のユーザ名のリンクを叩きメニューを開いたら、一番上にある「アカウント」をクリックします。

アカウント設定を開く

アカウント設定へ移動したら下にスクロールしていき、「通信設定」の説明文にある「ここをクリック」をクリックします。

通信設定

「AWS Email Preference Center」が開きますので、マーケティングメールを止めたい場合は、 「Do not send me marketing email.」にチェックを入れ「Save Changes」をクリックします。

AWS Email Preference Center

IAMユーザへの切り替えとリージョン設定

実際にEC2やRDSなどを立てていく場合、多くの人はリージョンを東京にすると思いますので、ここで切り替えます。 ここからは、管理用のIAMユーザ作成とMFAの導入で作成した管理用IAMユーザで進めていきますので、 一度サインアウトしてから、管理用IAMユーザのアカウントでログインし直してください。
管理用IAMユーザを作っていない場合は、このままrootアカウントで進めてください。

ユーザを切り替えたら、右上のリージョン(初期状態ならオハイオ)をクリックし一覧を表示させ、 「アジアパシフィック(東京)」をクリックすれば、リージョン切り替えは完了です。

リージョンをアジアパシフィック(東京)へ切り替える

AWS CloudTrailの設定

CloudTrailは、AWSのアカウント操作や、API呼び出しの履歴を残してくれるサービスです。
CloudTrailを設定すると、AWS内のリソースの作成、変更、削除などがログに残せるようになります。
個人で運用している場合でも、これらのログを残しておくといざという時に役立ちますし、 法人での運用の場合でも、複数のアカウントそれぞれが、管理画面やCLIでどんな操作を行ったのかが残るので、 コンプライアンスの観点からも有効です。

ちなみにCloudTrailは無料利用枠での利用を想定しています(デフォルト使用なら無料枠内)ので、必要最低限の設定です。
下記リンクは両方とも公式ページになりますが、
詳細な設定を行いたい場合は
AWS CloudTrail
無料枠については
CloudTrail に無料利用枠はありますか?
を確認してください。

ちなみに、ここを設定してから運用を始めると、 S3のリクエスト数が無料利用枠(2,000 Requests)を超える可能性があります。

使用状況画面

こんな感じで、S3の容量自体は全然余裕なのですが、S3リクエスト数が無料利用枠の範囲を超える可能性があります。
つまり、CloudTrail的には無料利用枠内で稼働したとしても、S3の方のリクエスト数が無料利用枠を超えるというパターンがあります。
ですので、無料利用枠をどうしても超えたくない場合は、CloudTrailを設定しない。 もしくは、請求ダッシュボードより、細かくリクエスト数をチェックしてください。
ちなみに、S3のリクエスト系の料金体系は以下の通り(2017年10月現在)です。

PUT、COPY、POST、または LIST リクエスト
$0.0047 : 1,000 リクエストあたり → 0.5円くらい?
GET および他のすべてのリクエスト
$0.0037 : 10,000 リクエストあたり → 0.4円くらい?

それでは設定を行っていきます。管理用IAMユーザで行います。
左上にある「サービス」をクリックし、サービス一覧から「管理ツール」の「CloudTrail」をクリックします。

CloudTrailへ

ページを移動したら、中央にある「証跡の作成」をクリックします。

「証跡の作成」をクリック

証跡情報の作成ページに切り替わりますので、以下のように入力していきます。

証跡情報の作成ページ

証跡名
任意の証跡名を入力します。
証跡情報を全てのリージョンに適用
はい
読み込み/書き込みイベント
すべて
新しい S3 バケットを作成しますか
はい
S3 バケット
任意のバケット名を入力します。

ちなみに、Amazon S3バケットの命名要件は以下の通りです。

  • バケット名は、長さが3~63文字の間で、小文字、数字、ピリオド、およびダッシュだけを含むことができます。
  • バケット名の各ラベルは、小文字または数字で始まる必要があります。
  • バケット名には、アンダースコア、ダッシュ、連続するピリオド、またはピリオドに隣接するダッシュを使用することはできません。
  • バケット名はIPアドレス(198.51.100.24)としてフォーマットすることはできません。

入力が終わったら、「作成」ボタンをクリックします。

少し待つと画面が切り替わります。
以下のような表示になれば、設定は完了です。

証跡情報の作成完了

まとめ

いかがだったでしょうか? この辺になってくると結構眠くなってくる設定事項が多いですが、初期設定はしっかりやっておくと後で困らないのでしっかり行っておきましょう。