AWSアカウントの詳細設定(IAM、CloudTrailなど)
- 公開日
- 更新日
- カテゴリ:AWS
- タグ:AWS,Security,IAM,CloudTrail,S3
意外と気づかず忘れてしまいがちなアカウントの詳細設定を行います。 この部分は運用しながら監視し随時調整していく部分ではありませんので、 アカウントを作成したらまず行ってしまいましょう。 安全な AWS運用の為にも必ずやっておきたい部分ではありますが、設定自体は簡単です。
今回の作業は以下の通りです。
では早速始めましょう。 root アカウントで進めます。
代替連絡先の設定
基本的に通知等のメールは root アカウントのメールアドレスへ送信されますが、 それ以外にも送信先としてメールアドレスを設定する事ができます。
重要なメールの見落としなどを防ぐためにも、必ず設定しておきましょう。
まずはアカウント設定を開きます。
右上のユーザ名のリンクを叩きメニューを開いたら、一番上にある「アカウント」をクリックします。
アカウント設定へ移動したら下にスクロールしていき、「代替の連絡先」の右側にある「編集」をクリックします。
フォームが表示されますので、 「請求」「操作」「セキュリティ」それぞれにメールアドレスなど必要な情報を入力し、 「更新」ボタンをクリックします。
「代替の連絡先を保存しました」 と表示が出たら、設定完了です。
秘密の質問の設定
秘密の質問って AWS に限らず、何かのアカウントを開設する際にはよく設定しますよね。
AWS ではここを設定しておくと、電話での問い合わせや、MFA の解除申請などの時に秘密の質問を聞いてくれるようになります。
秘密の質問を使う時は大抵、アカウントの操作の時でしょうから、ここを設定しておく事で、より安全な運用が行えるようになります。
ただし一点、注意していただきたいのが、
「秘密の質問は、一度設定すると削除できない」
という事です。(変更はできます)
ですので、設定する際はどこかにメモを取っておくとかして、忘れないように注意してください。 忘れてしまうとアカウント操作が出来なくなってしまいます。
では行っていきます。まずはアカウント設定を開きます。
右上のユーザ名のリンクを叩きメニューを開いたら、一番上にある「アカウント」をクリックします。
アカウント設定へ移動したら下にスクロールしていき、「秘密の質問の設定」の右側にある「編集」をクリックします。
秘密の質問を3つ設定するフォームが表示されますので、入力し、「更新」をクリックします。
「秘密の質問を」保存しました。と表示が出たら、設定は完了です。
通信設定
AWS アカウントを作成すると、ちょこちょこと色々なメールがアマゾンから送られてきます。 もしそれらのマーケティング系のメールを止めたり制御したい場合は、ここから行えます。
まずはアカウント設定を開きます。
右上のユーザ名のリンクを叩きメニューを開いたら、一番上にある「アカウント」をクリックします。
アカウント設定へ移動したら下にスクロールしていき、「通信設定」の説明文にある「ここをクリック」をクリックします。
「AWS Email Preference Center 」が開きますので、マーケティングメールを止めたい場合は、 「Do not send me marketing email.」にチェックを入れ「Save Changes 」をクリックします。
IAM ユーザへの切り替えとリージョン設定
実際に EC2 や RDS などを立てていく場合、多くの人はリージョンを東京にすると思いますので、ここで切り替えます。 ここからは、管理用の IAM ユーザ作成と MFA の導入で作成した管理用 IAM ユーザで進めていきますので、 一度サインアウトしてから、管理用 IAM ユーザのアカウントでログインし直してください。
管理用 IAM ユーザを作っていない場合は、このまま root アカウントで進めてください。
ユーザを切り替えたら、右上のリージョン(初期状態ならオハイオ)をクリックし一覧を表示させ、 「アジアパシフィック(東京)」をクリックすれば、リージョン切り替えは完了です。
AWS CloudTrail の設定
CloudTrail は、AWS のアカウント操作や、API 呼び出しの履歴を残してくれるサービスです。
CloudTrail を設定すると、AWS 内のリソースの作成、変更、削除などがログに残せるようになります。
個人で運用している場合でも、これらのログを残しておくといざという時に役立ちますし、 法人での運用の場合でも、複数のアカウントそれぞれが、管理画面や CLI でどんな操作を行ったのかが残るので、 コンプライアンスの観点からも有効です。
ちなみに CloudTrail は無料利用枠での利用を想定しています(デフォルト使用なら無料枠内)ので、必要最低限の設定です。
下記リンクは両方とも公式ページになりますが、
詳細な設定を行いたい場合は
AWS CloudTrail
無料枠については
CloudTrail に無料利用枠はありますか?
を確認してください。
ちなみに、ここを設定してから運用を始めると、S3 のリクエスト数が無料利用枠(2,000 Requests)を超える可能性があります。
こんな感じで、S3 の容量自体は全然余裕なのですが、S3 リクエスト数が無料利用枠の範囲を超える可能性があります。
つまり、CloudTrail 的には無料利用枠内で稼働したとしても、S3 の方のリクエスト数が無料利用枠を超えるというパターンがあります。
ですので、無料利用枠をどうしても超えたくない場合は、CloudTrail を設定しない。 もしくは、請求ダッシュボードより、細かくリクエスト数をチェックしてください。
ちなみに、S3 のリクエスト系の料金体系は以下の通り(2017 年 10 月現在) です。
PUT, COPY, POST, または LIST リクエスト 0.0047 ドル : 1,000 リクエストあたり → 0.5 円くらい? GET および他のすべてのリクエスト 0.0037 ドル : 10,000 リクエストあたり → 0.4 円くらい?それでは設定を行っていきます。管理用 IAM ユーザで行います。
左上にある「サービス」をクリックし、サービス一覧から「管理ツール」の「CloudTrail 」をクリックします。
ページを移動したら、中央にある「証跡の作成」をクリックします。
証跡情報の作成ページに切り替わりますので、以下のように入力していきます。
証跡名任意の証跡名を入力します。証跡情報を全てのリージョンに適用はい読み込み/書き込みイベントすべて新しい S3 バケットを作成しますかはい S3 バケット任意のバケット名を入力します。ちなみに、Amazon S3 バケットの命名要件は以下の通りです。
- バケット名は、長さが 3~ 63 文字の間で、小文字、数字、ピリオド、およびダッシュだけを含むことができます。
- バケット名の各ラベルは、小文字または数字で始まる必要があります。
- バケット名には、アンダースコア、ダッシュ、連続するピリオド、またはピリオドに隣接するダッシュを使用することはできません。
- バケット名は IP アドレス(198.51.100.24)としてフォーマットすることはできません。
入力が終わったら、「作成」ボタンをクリックします。
少し待つと画面が切り替わります。
以下のような表示になれば、設定は完了です。
