ヤマムギ

growing hard days.

*

AWSのアカウントを新規作成と、最低限やっておいた方がいいMFAの設定

      2019/04/25

Delicious にシェア
このエントリーをはてなブックマークに追加
LinkedIn にシェア
LINEで送る

AWSのアカウントを新規作成する手順を書き出しておきます。

※2017年8月6日現在の情報です。

AWSアカウント新規作成

AWSを無料でお試しくださいページにアクセスします。

「私は新規ユーザーです」を選択してメールアドレスを入力して[サインイン]をクリックします。

名前とメールアドレスをもう一度入力しパスワードを設定します。
このメールアドレスはamazon.comでも使うアドレスになるので一意である必要があります。

連絡先情報を入力します。
英数字のみで入力する必要があるので、住所の翻訳をして入力します。
電話番号は 0から始まる番号(090,080など)でOKです。
今取れる電話番号を入力しておきます。

課金の際に引き落とし先となるクレジットカード情報を登録します。

先ほど入力した電話番号が入力されているのでそのままか、他の番号に変える場合も、今取れる電話番号を入力ます。

電話が自動音声でかかってきます。
同じタイミングで画面に自動でPINコードが表示されます。
そのコードを音声の案内に従って電話でプッシュします。

本人確認が完了しました。

サポートプランを選択します。
今回は別料金が発生しない「ベーシック」を選択します。

AWSアカウントが作成出来ました。

「私は既存のユーザーです」を選択してメールアドレスと設定したパスワードでマネジメントコンソールにログイン出来ます。

この時点で出来たAWSアカウントを守っているのはID(メールアドレス)とパスワードのみです。

もしも他人にログインされると、初期の制限はあるものの無限に近いAWSのサービスリソースを使われてしまう危険があります。

そうならないためにも、AWSアカウントを乗っ取られないためにも、最低限やっておいたほうがいいと思う設定をこのままやってしまいましょう。

ルートユーザーのMFA設定

マネジメントコンソールにログインしたら、サービスで「iam」と入力して IAM というサービス画面を開きます。

ダッシュボードに「セキュリティステータス」というものがあり、5項目のやっておいた方がいい設定が表示されています。

下の2つは運用にあわせてやってもらえばいいと思うので、最低限上の2つをやってしまっておきましょう。

まずは「ルートアカウントのMFA設定」です。

展開して[MFAの管理]をクリックします。

私は「Google Authenticator」を使用しているので「仮想MFAデバイス」を選択します。

MFA仮想アプリ

私は「Google Authenticator」を使用しているのでその手順を紹介します。

スマートフォンに「Google Authenticator」をインストールしておきます。

MFAデバイスの管理についての説明が表示されますので読みます。

QRコードが表示されますのでアプリの「バーコードをスキャン」で読み取ります。

アプリの「認証システム」の一覧に表示されるので、30秒ごとに変更される6桁の認証コードを連続2回分入力します。

「ルートアカウントのMFA設定」が完了しました。

個々のIAMユーザーの作成

ルートアカウントに変わる管理用ユーザーを作成しておきます。
これは管理用ユーザー情報を流出させてしまった場合などに削除や停止するなど簡単に出来るようにしておくためです。

次に「個々のIAMユーザーの作成」を展開して[ユーザーの管理]をクリックします。

[ユーザーを追加]をクリックします。

ユーザー名を入力します。
今回はマネジメントコンソール用の管理ユーザーを作ろうと思うので「AWS マネジメントコンソールへのアクセス」のみにチェックを入れます。

[既存のポリシーを直接アタッチ]で、
* AdministratorAccess
* Billing
の2つのポリシーを設定します。

確認画面になるので確認してユーザーを作成します。

作成出来ました。
パスワードを控えて、ユーザー情報を開きます。

[認証情報]タブのMFAデバイスの割当を有効にします。

ルートユーザーに設定したときと同様に今回作成したユーザーにもMFAデバイスを割り当てます。

コンソールログインのリンクに書かれたURLから新しいユーザーでログインしてみます。

設定したとおりにMFA認証コードが聞かれるので入力します。

右上のアカウントは「ユーザー名@アカウント」となっています。

これでルートユーザーはしまっておいて、新たに作成した管理用ユーザーでベースとなる諸々の設定が可能となります。

あとは使うサービスや範囲に応じて最低権限の法則に基いてユーザーを作って使っていきましょう。

※これらの管理をしていくために残り2つの「グループ」、「パスワードポリシー」の設定が役に立ちます。

最後までお読みいただきましてありがとうございました!
【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

@yamamanx
@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITトレーナー2年目のSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

 - AWS ,

ad

ad

  関連記事

LINE Bot APIのファーストステップをLambda+API Gatewayでやってみたらものすごく簡単で驚いた

トライアル当初はホワイトリストのしばりや、初回反応するまで時間がかかったりとみな …

Pepperで撮影した写真をAmazon Rekognitionで分析してその結果をPepperがしゃべる ~(1)AWS編~

Pepperの機能を使えるところは使って、何かしたいなあと思ってまして。 目(カ …

AWS Summit Tokyo 2017 Day3 開場~基調講演~Dev Day Night

AWS Summit Tokyo 2017 参加2日目のDay3です。 基調講演 …

S3に置いたMP3ファイルをTwilioから電話再生する(AWS Lambda Python)

Google Calendar Twilio ReminderのTwilioを使 …

slackのbotをAWS Lambda(Python)+API Gatewayで構築

slackで投稿した内容に応じて返信したり調べ物したりしてくれるbotですが、こ …

ECR(Amazon Elastic Container Registry)にコンテナイメージをアップロードする

「Pandocサーバーのコンテナイメージを作成する」で作成したイメージをAWS …

kintone webhookからAWS API Gateway – Lambdaを実行しレコードの値を渡す

2017年2月のアップデートでkintoneにWebhook機能がリリースされま …

AWS Lambda KMSを使って環境変数を暗号化、復号化する(Python)

Lambda内で外部APIを使用する場合などをユースケースとして、環境変数をKM …

2017年、このブログ(WordPress(Amazon EC2 + RDS))で対応してきたこと

Amazon Web Services Advent Calendar 2017 …

再会の日 ~re:Union 2018 Osaka by JAWS-UG~

8/5は大阪でre:Unionでした。 「再会」と名うったこのイベントは、6月に …

PREV
Slackでチームを作成してbotから投稿出来るようにする
NEXT
AWS CloudWatch LogsエージェントでAmazon EC2上のNginxのaccess.log , error.log , php-fpm error.log , Linuxのmessages , secureログを収集する