ヤマムギ

growing hard days

*

AWSのアカウントを新規作成と最低限やっておいた方がいいMFAの設定

   


AWSのアカウントを新規作成する手順を書き出しておきます。

※2017年8月6日現在の情報です。

AWSアカウント新規作成

AWSを無料でお試しくださいページにアクセスします。

「私は新規ユーザーです」を選択してメールアドレスを入力して[サインイン]をクリックします。

名前とメールアドレスをもう一度入力しパスワードを設定します。
このメールアドレスはamazon.comでも使うアドレスになるので一意である必要があります。

連絡先情報を入力します。
英数字のみで入力する必要があるので、住所の翻訳をして入力します。
電話番号は 0から始まる番号(090,080など)でOKです。
今取れる電話番号を入力しておきます。

課金の際に引き落とし先となるクレジットカード情報を登録します。

先ほど入力した電話番号が入力されているのでそのままか、他の番号に変える場合も、今取れる電話番号を入力ます。

電話が自動音声でかかってきます。
同じタイミングで画面に自動でPINコードが表示されます。
そのコードを音声の案内に従って電話でプッシュします。

本人確認が完了しました。

サポートプランを選択します。
今回は別料金が発生しない「ベーシック」を選択します。

AWSアカウントが作成出来ました。

「私は既存のユーザーです」を選択してメールアドレスと設定したパスワードでマネジメントコンソールにログイン出来ます。

この時点で出来たAWSアカウントを守っているのはID(メールアドレス)とパスワードのみです。

もしも他人にログインされると、初期の制限はあるものの無限に近いAWSのサービスリソースを使われてしまう危険があります。

そうならないためにも、AWSアカウントを乗っ取られないためにも、最低限やっておいたほうがいいと思う設定をこのままやってしまいましょう。

ルートアカウントのMFA設定

マネジメントコンソールにログインしたら、サービスで「iam」と入力して IAM というサービス画面を開きます。

ダッシュボードに「セキュリティステータス」というものがあり、5項目のやっておいた方がいい設定が表示されています。

下の2つは運用にあわせてやってもらえばいいと思うので、最低限上の2つをやってしまっておきましょう。

まずは「ルートアカウントのMFA設定」です。

展開して[MFAの管理]をクリックします。

私は「Google Authenticator」を使用しているので「仮想MFAデバイス」を選択します。

MFA仮想アプリ

私は「Google Authenticator」を使用しているのでその手順を紹介します。

スマートフォンに「Google Authenticator」をインストールしておきます。

MFAデバイスの管理についての説明が表示されますので読みます。

QRコードが表示されますのでアプリの「バーコードをスキャン」で読み取ります。

アプリの「認証システム」の一覧に表示されるので、30秒ごとに変更される6桁の認証コードを連続2回分入力します。

「ルートアカウントのMFA設定」が完了しました。

個々のIAMユーザーの作成

ルートアカウントに変わる管理用ユーザーを作成しておきます。
これは管理用ユーザー情報を流出させてしまった場合などに削除や停止するなど簡単に出来るようにしておくためです。

次に「個々のIAMユーザーの作成」を展開して[ユーザーの管理]をクリックします。

[ユーザーを追加]をクリックします。

ユーザー名を入力します。
今回はマネジメントコンソール用の管理ユーザーを作ろうと思うので「AWS マネジメントコンソールへのアクセス」のみにチェックを入れます。

[既存のポリシーを直接アタッチ]で、
* AdministratorAccess
* Billing
の2つのポリシーを設定します。

確認画面になるので確認してユーザーを作成します。

作成出来ました。
パスワードを控えて、ユーザー情報を開きます。

[認証情報]タブのMFAデバイスの割当を有効にします。

ルートアカウントに設定したときと同様に今回作成したユーザーにもMFAデバイスを割り当てます。

コンソールログインのリンクに書かれたURLから新しいユーザーでログインしてみます。

設定したとおりにMFA認証コードが聞かれるので入力します。

右上のアカウントは「ユーザー名@アカウント」となっています。

これでルートアカウントはしまっておいて、新たに作成した管理用ユーザーでベースとなる諸々の設定が可能となります。

あとは使うサービスや範囲に応じて最低権限の法則に基いてユーザーを作って使っていきましょう。

※これらの管理をしていくために残り2つの「グループ」、「パスワードポリシー」の設定が役に立ちます。

@yamamanx
開発ベンダー5年、ユーザ企業システム部門通算8年目のSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

 - AWS ,

ad

ad

Message

メールアドレスが公開されることはありません。

  関連記事

Route53でドメインを新規取得してDNSレコードを設定する

Elastic IPをAWSで発行しているのですから、DNSの設定も同じようにマ …

ACM(AWS Certificate Manager)の承認メールを受け取るためにAmazon SESを設定する

何のためでもいいのですが、ドメインは持っているけど、そのドメイン宛にメールを送ら …

Amzon Linux のApacheでRedmineとWordPressをバーチャルホストで共存する

EC2とRDSを節約しようと思いまして、Redmineを動かしてるとこに検証用W …

Amazon LinuxにRedmine 環境構築(エラーと対応をそのまま記載版)

Amazon Linuxにgit + Redmineの環境を構築してみます。 自 …

Amazon LinuxにRedmine をインストールする(手順整理版)

Amazon LinuxにRedmineをインストールしました手順を記載します。 …

AWS Summit 2016 Tokyoに参加してきました (Day2)

馬込は非常に良い天気です。 泊まっている部屋が2Fでしたので窓を明けると歩いてい …

TuneCoreの売上データCSVをS3に格納してAthenaのクエリをRe:dashのデータソースにして可視化する

先日参加しましたAWS Summit Tokyo 2017で、 [JapanTa …

AWS EC2でAMI(Amazon Machine Image)を作成しておく

前回まででひとまずRedmineを構築するところまで出来たので、念のためスナップ …

AWS Summit 2016 Tokyoに参加してきました (Day3)

飛天3日目です。 JAWS-UGブースのすぐ前にあったこのお水がめちゃめちゃおい …

NGINXで500と502のエラーが実は頻発していたらしい

先日Mackerelで当ブログの外形監視を始めたのですが、500と502のエラー …