AWSをはじめたら最初にするユーザー設定

はじめに

AWSの勉強をすることになったのでメモを書いていきます。
どこかに書いてあったのですが、AWSの変化は早いため、公式のドキュメントなどを参考にしたほうが良いとのことですが、実際、公式のドキュメントも追いついていないようです。というわけで最新の情報は触って確かめてみるしかないのかなというのが今のところの感想です。

最初にしたほうがいいこと

AWSのアカウントを作成後に最初にしたほうがいいこととしてはIAMユーザーを作成し、普段はIAMユーザーで作業をするようにしたほうがいいとのことです。

アカウントを作成したばかりでは、AWSアカウント ルートユーザーしかありません。それに、AWSアカウント ルートユーザーにメールアドレスとパスワードのみでアクセスできてしまうため、万が一乗っ取られたら終わりです。

なので、AWSアカウント ルートユーザーのセキュリティを強化してあげる必要もあります。それにはMFA (多要素認証）を設定します。

MFA（多要素認証）の設定

Google Authenticatorのインストール

iOSだとGoogle Authenticator、AndroidだとGoogle認証だったと思いますが、このアプリを使ってMFA（多要素認証）をおこないます。

まずは、アプリをインストールしておいてください。

MFA（多要素認証）の設定

AWSマネジメントコンソールからIAMを検索してIAMを開きます。

[ルートアカウントのMFAを有効化]を展開し、[MFAの管理]を開きます。

ここでMFAを設定します。
QRコードが表示されるので、スマホのGoogle Authendicator(認証）を起動してQRコードで追加してやればOKです。

これ以降、AWSアカウント ルートユーザーでログインするには、Google Authenticator（認証）で表示されるワンタイムパスワードを入力する必要がでてきます。

IAMユーザーの作成

IAMダッシュボードに戻り、[個々のIAM ユーザーの作成]を展開し、[ユーザーの管理]を開きます。

ここでユーザーの追加をします。

既存のポリシーを適用しておきます。ここではadminユーザーに AdministratorAccess を適用し、何でもできるようなユーザーを作成します。

あとはそのまま次へ進み、IAMユーザーを作成します。

AWSアカウントエイリアスの作成

ここは必須ではないですが、AWSアカウントのエイリアスを作っておくと便利です。AWSアカウントは最初は数字12桁で作成されますが、これを覚えるのは難しいので、分かりやすいエイリアスにしておくと良いです。

IAMコンソールの [カスタマイズ] をクリックして作成できます。

請求情報へのアクセス権の設定

作成したIAMユーザーで請求情報へアクセスできると便利です。
これも必須ではありません。

AWSルート アカウントでログインし、右上のアカウント名のところから、[マイアカウント]を開いてください。

下の方に [IAM ユーザー/ロールによる請求情報へのアクセス] があるので、その横の [編集] をクリックします。

IAMアクセスの有効化にチェックを入れ、 [更新] をクリックします。