ヤマムギ

growing hard days.

*

AWSのアカウントを新規作成と、最低限やっておいた方がいいMFAの設定

      2019/04/25


AWSのアカウントを新規作成する手順を書き出しておきます。

※2017年8月6日現在の情報です。

AWSアカウント新規作成

AWSを無料でお試しくださいページにアクセスします。

「私は新規ユーザーです」を選択してメールアドレスを入力して[サインイン]をクリックします。

名前とメールアドレスをもう一度入力しパスワードを設定します。
このメールアドレスはamazon.comでも使うアドレスになるので一意である必要があります。

連絡先情報を入力します。
英数字のみで入力する必要があるので、住所の翻訳をして入力します。
電話番号は 0から始まる番号(090,080など)でOKです。
今取れる電話番号を入力しておきます。

課金の際に引き落とし先となるクレジットカード情報を登録します。

先ほど入力した電話番号が入力されているのでそのままか、他の番号に変える場合も、今取れる電話番号を入力ます。

電話が自動音声でかかってきます。
同じタイミングで画面に自動でPINコードが表示されます。
そのコードを音声の案内に従って電話でプッシュします。

本人確認が完了しました。

サポートプランを選択します。
今回は別料金が発生しない「ベーシック」を選択します。

AWSアカウントが作成出来ました。

「私は既存のユーザーです」を選択してメールアドレスと設定したパスワードでマネジメントコンソールにログイン出来ます。

この時点で出来たAWSアカウントを守っているのはID(メールアドレス)とパスワードのみです。

もしも他人にログインされると、初期の制限はあるものの無限に近いAWSのサービスリソースを使われてしまう危険があります。

そうならないためにも、AWSアカウントを乗っ取られないためにも、最低限やっておいたほうがいいと思う設定をこのままやってしまいましょう。

ルートユーザーのMFA設定

マネジメントコンソールにログインしたら、サービスで「iam」と入力して IAM というサービス画面を開きます。

ダッシュボードに「セキュリティステータス」というものがあり、5項目のやっておいた方がいい設定が表示されています。

下の2つは運用にあわせてやってもらえばいいと思うので、最低限上の2つをやってしまっておきましょう。

まずは「ルートアカウントのMFA設定」です。

展開して[MFAの管理]をクリックします。

私は「Google Authenticator」を使用しているので「仮想MFAデバイス」を選択します。

MFA仮想アプリ

私は「Google Authenticator」を使用しているのでその手順を紹介します。

スマートフォンに「Google Authenticator」をインストールしておきます。

MFAデバイスの管理についての説明が表示されますので読みます。

QRコードが表示されますのでアプリの「バーコードをスキャン」で読み取ります。

アプリの「認証システム」の一覧に表示されるので、30秒ごとに変更される6桁の認証コードを連続2回分入力します。

「ルートアカウントのMFA設定」が完了しました。

個々のIAMユーザーの作成

ルートアカウントに変わる管理用ユーザーを作成しておきます。
これは管理用ユーザー情報を流出させてしまった場合などに削除や停止するなど簡単に出来るようにしておくためです。

次に「個々のIAMユーザーの作成」を展開して[ユーザーの管理]をクリックします。

[ユーザーを追加]をクリックします。

ユーザー名を入力します。
今回はマネジメントコンソール用の管理ユーザーを作ろうと思うので「AWS マネジメントコンソールへのアクセス」のみにチェックを入れます。

[既存のポリシーを直接アタッチ]で、
* AdministratorAccess
* Billing
の2つのポリシーを設定します。

確認画面になるので確認してユーザーを作成します。

作成出来ました。
パスワードを控えて、ユーザー情報を開きます。

[認証情報]タブのMFAデバイスの割当を有効にします。

ルートユーザーに設定したときと同様に今回作成したユーザーにもMFAデバイスを割り当てます。

コンソールログインのリンクに書かれたURLから新しいユーザーでログインしてみます。

設定したとおりにMFA認証コードが聞かれるので入力します。

右上のアカウントは「ユーザー名@アカウント」となっています。

これでルートユーザーはしまっておいて、新たに作成した管理用ユーザーでベースとなる諸々の設定が可能となります。

あとは使うサービスや範囲に応じて最低権限の法則に基いてユーザーを作って使っていきましょう。

※これらの管理をしていくために残り2つの「グループ」、「パスワードポリシー」の設定が役に立ちます。


最後までお読みいただきましてありがとうございました!
【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

 - AWS ,

ad

ad

  関連記事

AWS EC2 インスタンスステータスのチェックで失敗 原因はPHP-FPMのOOM-KILLER

目次 先週に引き続きEC2のインスタンスステータスチェックで失敗とはいえまたスペ …

AWS EC2 インスタンスステータスのチェックで失敗して起動しなくなり復旧

EC2のインスタンスに接続出来なくなったので、AMIから作成してElastic …

NATインスタンスを作成する

プライベートサブネットのEC2インスタンスからカスタムメトリクスとCloudWa …

AWS EC2 Amazon Linux にEC-CUBE3をnginx+MySql環境へインストール(手順検証中)

目次 EC2インスタンスを作成する各パッケージのインストールEC-CUBEインス …

AWS Lambda(Python3.7)でPandocを実行する

目次 昨日まで(AWS Batch)今日から(AWS Lambda)ARNを指定 …

Amazon EC2のAMIイメージを自動取得して保持日数が過ぎたら削除

画像の保存をEC2に戻した事もあってEC2のバックアップの自動取得を勉強がてらや …

WordPressをAmazon CloudFrontで配信してついでにACM(AWS Certificate Manager)を使って常時SSL化する

当サイトの500と502の発生状況がドイヒーであるとの苦情をいただきまして、Am …

Amzon Linux のApacheでRedmineとWordPressをバーチャルホストで共存する

EC2とRDSを節約しようと思いまして、Redmineを動かしてるとこに検証用W …

AlexaにAWSの最新Feedを読み上げてもらう(Lambda Python)

年末にAmazon Echo Dotを購入しましたので、練習がてらAlexaスキ …

AWS Lambda(Python3.7)でPandocを実行する際にCSSもLayerから読み込む

目次 Pandocで必要そうなオプションを確認しておく構成CSS on Lamb …