• 概要
• 更新履歴
• 設定サービス／作成リソース
• AWS アカウントの作成
• アカウントの環境設定
  • ルートアカウントの MFA 設定
  • IAM ユーザによる請求情報へのアクセス許可
  • パスワードポリシーの設定
  • 支払通貨の変更
  • Budget の設定
  • UI 設定変更(統合設定)
  • アカウントエイリアスの作成
• セキュリティサービスの有効化
  • CloudTrail の有効化
  • AWS Config の有効化
    • AWS Config の全リージョンでの有効化
  • GuardDuty の有効化
    • Guard Duty の全リージョンでの有効化
  • Security Hubの有効化
    • Security Hub の全リージョンでの有効化
    • Security Hub の運用
• IAM ユーザ／グループの作成
  • IAM グループの作成
  • IAM ユーザの作成
  • MFA の有効化
• 通知設定
• サービスの設定
  • デフォルト VPC の削除
  • EBS のデフォルト暗号化の設定
  • S3 バケットのパブリックブロックの設定
  • S3 バケットの暗号化設定
• オプション
  • Trusted Advisor の通知設定
  • Cost Explorer の設定
  • Cost Usage Report(CUR) の出力
  • コスト配分タグの設定
  • Billing の詳細設定
  • 秘密の質問の設定
  • 代替連絡先の設定
  • 命名規則の検討
  • CloudShell の活用
  • 有効なリージョンの確認
  • 準拠法／管轄裁判所の変更
  • AWS Health Dashboard によるイベント監視

概要

各種 AWS 初期設定ブログなどを参考にした個人的メモ書き。

• 操作はコンソールベースで行う。
• アップデートで UI や仕様は細かく変化するため、一次ソースを洗った裏取りを推奨。
• 組織管理しない単独アカウントを対象とする(非 Organization)。
• アカウント作成後、とりあえずやっておきたいことの網羅を目指す。
  • 無料枠が活用できるので、セキュリティ系の有償サービスも使う。
    • 但し、少し費用がかかっても使いたいサービスがほとんど。
  • AWS クラウド無料利用枠 | AWS

[参考サイト]

• AWSアカウントで最初にやるべきこと 〜2022年6月版〜 - Speaker Deck

下記は本記事中で一切触れていないサービス(必要に応じて適用と判断)。
いずれも商用環境では利用を検討したいツール。

• Amazon DevOps Guru(有料)
  • 機械学習ベースの運用補助ツール。
  • 【簡単導入】機械学習で運用を効率化！Amazon DevOps Guruを有効化してみた | DevelopersIO
• Amazon S3 Storage Lens
  • S3 の構成の見直しに使う。
  • Amazon S3 Storage Lens の紹介 — オブジェクトストレージに組織全体にわたる可視性を | Amazon Web Services ブログ
• AWS IAM Access Analyzer
  • IAM ポリシーの見直しに使う。
  • IAM Access Analyzer を活用して最小権限を目指そう
• AWS Compute Optimizer
  • コンピュータリソースの最適化に使う。
  • AWS Compute Optimizer とは? - AWS Compute Optimizer

更新履歴

• 2021/06/28 新規作成
• 2023/01/26 全体的に見直し
  • よくわかってなかったときに初版を書いたので全体的に見直した。

設定サービス／作成リソース

本記事内でいじる主なサービスとその生成物の概要。

• CloudTrail
  • マルチリージョンサービス(単一リージョンで設定すれば使える)。
  • 作成されるもの
    • 証跡
    • 保存用の S3 バケット
    • サービスロール
• GuardDuty
  • リージョンサービス(リージョン単位で設定)。
  • 作成されるもの
    • サービスロール
• Security Hub
  • リージョンサービス(リージョン単位で設定)。
    • 特定のリージョンに検知結果の統合は可能。
  • 作成されるもの
    • サービスロール
• AWS Config
  • リージョンサービス(リージョン単位で設定)。
  • 作成されるもの
    • レコーダー
    • 保存用の S3 バケット
    • サービスロール
• S3
  • グローバルサービス(バケットはリージョン単位)。
  • バケット
    • CloudTrail 用バケット: aws-cloudtrail-logs-<XXX>
    • AWS Config 用バケット: config-bucket-<XXX>
• IAM
  • グローバルサービス。
  • IAM ユーザ
    • 管理ユーザ(任意)
  • IAM グループ
    • 管理用グループ(任意)
  • IAM ロール
    • AWS Config 用サービスロール： AWSServiceRoleForConfig
    • GuardDuty 用サービスロール：
      • AWSServiceRoleForAmazonGuardDuty
      • AWSServiceRoleForAmazonGuardDutyMalwareProtection
    • Security Hub 用サービスロール: AWSServiceRoleForSecurityHub

AWS アカウントの作成

最初に AWS のルートアカウントを作成する。

• リソースの保有および請求単位になる。
• 管理用の IAM ユーザを作るまではこのアカウントで操作する。
• root ユーザなので MFA を設定して凍結。普段使いはしない。

[設定内容]

• E メールアドレス
  • ルートアカウントとしてのログイン ID になる(あとから変更可能)。
• アカウント名
  • 任意の名前。アカウントの利用用途などがわかる名前にする(あとから変更可能)。

  • 個人アカウントの場合は、名前-姓 -目的 (例:paulo-santos-testaccount) などの命名規則の使用を検討してください。

• 請求先情報
  • アカウント種別(Business or Personal)
    • 入力項目が変化する。
  • 請求先住所
    • 請求書に載る。
• クレジットカード情報
• サポートプランの選択
• SMS 認証

see also

• ご利用開始にあたって: AWS を初めてお使いになる方向けの情報 - AWS アクセス管理

アカウントの環境設定

個別サービス以外の全般的な設定を行う。

ルートアカウントの MFA 設定

ログイン時の多要素認証(MFA)を有効化する。

• 複数の MFA デバイスを設定可能(最大 8)。

[操作手順]

1. 右上のマイアカウントのメニューより、「マイセキュリティ認証情報」をクリック。
2. IAM のセキュリティ認証情報より、「MFA を割り当てる」をクリック。
3. MFA デバイスを選択。
   1. デバイス名: 任意
      1. 既存デバイスと重複は不可。
   2. MFA デバイスを選択
      1. ● 認証アプリケーション
      2. ○ セキュリティーキー
      3. ○ ハードウェア TOTP トークン
4. QR コードを表示、認証アプリ(GoogleAuthenticator等)より読み込み、コードを 2 つ入力する。
5. 一度サインアウトして、MFA を使用して再ログインする。

see also

• AWS アカウント ルートユーザーで MFA を有効化する - AWS アカウント管理

IAM ユーザによる請求情報へのアクセス許可

権限を与えても初期設定だと IAM ユーザはアクセスできないのでそれを開放する。

[操作手順]

1. 右上のマイアカウントのメニューより、「アカウント」をクリック。
2. IAM ユーザ/ロールによる請求情報へのアクセスより、「編集」をクリック。
3. 「IAM アクセスのアクティブ化」を選択し、更新。

see also

• アカウントの請求情報の表示を IAM ユーザーに許可する

パスワードポリシーの設定

IAM ユーザに設定可能なパスワードのポリシーを設定する。
パスワードポリシーを設定しない場合、デフォルトポリシーが適用される。
(デフォルトポリシーだと後述する Security Hub によるチェックに引っかかる)

• パスワードの最小長は 8 文字、最大長は 128 文字です
• 大文字、小文字、数字、および非英数字 ( )の文字タイプの組み合わせのうち、少なくとも 3 つ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '
• AWS アカウント名または E メールアドレスと同一でないこと
• パスワードを無期限にする

see also

• Setting an account password policy for IAM users - AWS Identity and Access Management

[操作手順]

1. サービスの IAM を開く。
2. アクセス管理 - アカウント設定 をクリック。
3. パスワードポリシーを選択するをクリック。

支払通貨の変更

ドル建ての支払いを日本円に変更する。 現在は、デフォルトで日本円。

[操作手順]

1. 右上のマイアカウントのメニューより、「アカウント」をクリック。
2. お支払い通貨の設定より、編集をクリック。
3. USD -> JPY に変更して更新。

Budget の設定

Budget を使用して予算を設定する。
予算を設定すると利用料金の超過を検知できる。

• テンプレートによる初期設定が可能。
  • 後から内容は変更できる。
• 直接 E メールを飛ばすほか、SNS への通知も設定可能。

予期しない料金超過を検知したい場合は、Cost Anomaly Detection の利用も検討。

look at

• コスト異常検出（Cost Anomaly Detection）設定してみた - サーバーワークスエンジニアブログ

[料金に関して]

• 予算通知は無料(2020/12/15～)。
• アクションの追加は、最初の 2 つの予算まで無料。

  • Your first two action-enabled budgets are free (regardless of the number of actions you configure per budget) per month. Afterwards each subsequent action-enabled budget will incur a $0.10 daily cost.

see also

• AWS Budgets Pricing - Amazon Web Services
• AWS Budgets の値下げを発表

[操作手順(テンプレートの場合)]

一例として月額予算の場合を記載。

1. 右上のマイアカウントのメニューより、「請求ダッシュボード」をクリック。
2. 左側の Budget を選択し、「予算の作成」をクリック。
3. 予算の設定
   1. ● テンプレートを使用(シンプル)
   2. ○ カスタマイズ(アドバンスト)
4. テンプレートの選択
   1. ○ ゼロ支出予算
      1. 無料可能枠で予算を作る場合。
   2. ● 月次コスト予算
   3. ○ 日次の Saving Plans のカバレッジ予算
   4. ○ 1 日の予約使用率予算
5. テンプレートの設定
   1. 予算名: <任意>
   2. 予算額($): <任意>
   3. E メールの受信者: <任意>(複数指定時は、カンマ区切り)
   4. スコープ: すべての AWS サービス(固定値)
      1. 実際の支出が 85 %、実際の支出が 100 %、予測される支出が 100 % に達するとアラートが送信される。
6. 予算を作成。

see also

• AWSのサービスを理解するーAWSコスト管理カテゴリ編ー - hero-rinのブログ

  • 非ブレンドレート "unBlended Rate"。元々の予測や設定した利用金額をインスタンス別に割った平均値になります。

  • 非ブレンドコスト 非ブレンドレートとインスタンスタイプごとの利用時間を掛けた値になります。

UI 設定変更(統合設定)

最近の AWS コンソールは下記の設定が可能。
アカウントまた IAM ユーザごとに設定内容が AWS 側に保存される。

[設定内容]

デフォルト設定を記載。

• ローカリゼーションとデフォルトのリージョン
  • 言語: 日本語
  • デフォルトのリージョン： 最後に使用したリージョン
    • ログイン後の最初のリージョンを設定可能。
• 表示
  • ビジュアルモード： ライト
    • ダークモードにできる。
  • お気に入りバーの表示： サービス名とアイコン
• 設定管理
  • 最近アクセスしたサービスを記憶する： はい

[操作手順]

1. 右上のマイアカウントのメニューより、「設定」をクリック。
2. 内容を設定。

[メモ]

• 単一の環境(ブラウザ)で複数ユーザを使った場合、以前のログインユーザの影響を受けてる気がする。

see also

• Configuring Unified Settings - AWS Management Console

アカウントエイリアスの作成

AWS にログインする際に入力するアカウント ID にエイリアスを設定できる。
エイリアスを設定するとエイリアスを用いたログイン URL が利用できるようになる。

https://<Your_Account_Alias>.signin.aws.amazon.com/console/

• グローバルで一意である必要がある。
• エイリアス設定後も従来の URL は使用できる。
• エイリアスはアカウントに 1 つのみ設定可能(上書き)。

[操作手順]

1. サービスの IAM を開く。
2. ダッシュボードより、アカウントエイリアスの「作成」をクリック。
   1. 任意の名前を入力。
      1. すでに使われている名前だとエラーが出る。
   2. 成功すると「このアカウントのエイリアス XXX が作成されました。」のメッセージが出る。

セキュリティサービスの有効化

AWS の運用にあたって利用が推奨される管理系サービスを有効化する。
後述する IAM ユーザ作成を先にやってそのユーザによる操作でも良い
(必要な権限を与えること)。

• CloudTrail
  • AWS 環境上での操作履歴を残せるため、利用は必須と考える。
• AWS Config
  • リソースの構成履歴が残せるため、利用は必須と考える。
• GuardDuty
  • 機械学習により不正なアクティビティを自動検知できるため、利用は必須と考える。
• SecutiryHub
  • 各種アラートの集約ができるため、利用を推奨。
  • GuardDuty のアラート集約ができる(使わない場合、個別の設定が必要)。

設定にあたり、対象リージョンが合っているかを確認すること！！

CloudTrail の有効化

AWS 上での API 操作ログの確認を可能にする。
最新 90 日間のアクティビティを CloudTrail 上で表示、検索、ダウンロードできる。

• デフォルトでマルチリージョン対応。
  • 有効化したリージョンに S3 バケットが作成される。
• Cloudtrail 自体は基本無料。S3 への保存に対して課金される。
  • ただし、複数の証跡がある場合は追加コピーとして配信コストがかかる。
  • 料金 - AWS CloudTrail | AWS
• ログファイルを暗号化する場合は、SSE-KMS を使用(KMS キーの作成が必要)

[作成されるもの]

• CloudTrail の証跡
• 証跡を保存する S3 バケット

[操作手順]

1. サービスの CloudTrail を開く。
2. 「証跡の作成」をクリック。
3. 設定内容
   1. 証跡名：management-events
   2. 証跡ログバケット及びフォルダ： aws-cloudtrail-logs-XXX
4. 証跡作成後、下記の設定を変更。
   1. ログファイルの検証 を有効化。
   2. CloudTrail ログの検証を可能にするダイジェストが生成されるようになる。
      1. CloudTrail ログファイルの整合性の検証 - AWS CloudTrail

[追加の検討事項]

• CloudTrail ログの暗号化
  • 暗号鍵を提供する KMS の料金がかかる(無料枠あり)。
  • AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS) - AWS CloudTrail
• CloudTrail Insight の有効化(有料)
  • CloudTrail ログベースで不正なアクティビティの検出が行われるようになる。
  • 証跡の Insights イベントの記録 - AWS CloudTrail
• Athena テーブルの整備
  • 90 日以前のログ検索や高度な検索を行いたい場合。
  • GUI 上からサクッと作れる。クエリ数に対して課金される。
  • [AWS ]CloudTrailの証跡ログをAthenaを使ってサクッと解析する[このリソース誰が作ったの？] | DevelopersIO
• 保存先 S3 バケットのオブジェクトロック
  • 大事な証跡になるので、絶対に守りたい場合に検討。
  • S3オブジェクトのロック（なにをどうやっても改竄削除が不可）がリリースされました！ #reinvent | DevelopersIO

AWS Config の有効化

AWS リソースの設定変更を評価、監査、審査できる。

• リソースが規定の設定になっているかのチェックや、過去の設定状況の確認が行える。
• マネージドルール、カスタムルールによる柔軟なチェックが可能。
• Security Hub 利用における前提条件。

[作成されるもの]

• AWS Config レコーダー
• 証跡を保存する S3 バケット

[料金に関して]

• 記録された設定項目あたりの料金と、ルールの評価数に応じて課金される。
• その他 S3 バケットの料金が掛かる。

see also

• 料金 - AWS Config | AWS

[設定手順]

有効化はリージョン単位で行う。

1. サービスの AWS Config を開く
2. AWS Config のセットアップの、「1-Click セットアップ」をクリック。
   1. デフォルト設定。必要に応じてルールを設定。
3. 以下の設定のレコーダが作成される。
   1. 記録するリソースタイプ: このリージョンでサポートされているすべてのリソースを記録します。
   2. AWS Config ロール： AWSServiceRoleForConfig
   3. 配信方法
      1. Amazon S3 バケット: config-backet-XXX
4. 作成後、下記の設定を変更。
   1. グローバルリソース(AWS IAM リソースなど)を含める を有効化。

see also

• AWS Config とは - AWS Config

[追加の検討事項]

• 設定スナップショットの設定
  • 構成情報のバックアップ(デフォルトで有効)。
  • AWS再入門 AWS Config編 | DevelopersIO
  • Amazon S3 バケットへの設定スナップショットの配信 - AWS Config
• 適合パックの利用
  • 環境が特定のシナリオにマッチするよう規定のルールを設定できる。
  • コンフォーマンスパック - AWS Config

see also

• AWS Config ベストプラクティス | Amazon Web Services ブログ

AWS Config の全リージョンでの有効化

AWS Config はリージョン単位で有効化が必要。
全リージョンで有効化する場合は下記を検討(商用環境ではほぼ必須と考えられる)。

• CloudFormation のスタックセットによる一括展開。
  • 一括展開の際、設定済のリージョンがあった場合は展開が失敗する場合がある。

    • AWS アカウントごとにリージョンごとに 1 つの配信チャネルのみを持つことができます。

    • AWS :: Config :: DeliveryChannel-AWS CloudFormation
    • コンソールから消せないConfigを全リージョンCLIから無効化する | DevelopersIO
• グローバルリソースの記録は単一リージョンのみで行う(内容が重複するため)。
• 単一リージョンのバケットにログを集約させる。
  • 設定時に単一のバケットを指定すれば良い(権限は要確認)。

see also

• [小ネタ]CloudFormation StackSetsでConfigを全リージョン有効化しつつグローバルリソース記録は特定のリージョンのみで有効化する | DevelopersIO

  GuardDuty の有効化

脅威モニタリングサービス。
以下のデータソースをもとに悪意のあるアクセスなどを検知してくれる。

• AWS CloudTrail event logs
• VPC Flow Logs
• DNS logs

see also

• 【初心者向け】AWSの脅威検知サービスAmazon GuardDutyのよく分かる解説と情報まとめ | DevelopersIO
• 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた | DevelopersIO

[料金に関して]

• 有料サービスで、30 日間はすべての機能が無料で使える。
• 分析されたイベント量に応じて課金される。
  • つまり、利用が多ければ多いほど料金がかかる。
• 個人検証程度のアカウントなら無視できるレベル。

see also

• 料金 - Amazon GuardDuty | AWS

[操作手順]

有効化はリージョン単位で行う。

1. サービスの GuardDuty を開く。
2. GuardDuty を無料で試すの、「今すぐ始める」をクリック。
3. 「GuardDuty を有効にする」をクリック。
   1. サービスのアクセス権限の説明が書いてある。
      1. ログソースに対して、GuardDuty からのアクセス許可を設定する。
   2. ロール名：AWSServiceRoleForAmazonGuardDuty

[追加の検討事項]

• ルートアカウントのログインなども検知するので、アラートが頻発する場合は信頼されている IP リストとして接続元を許可しておく。
  • 設定 - リスト より、信頼されている IP リストを設定。
• 検知の際の通知は別途、Event Bridge と SNS の設定が必要。
• 追加の脅威検出の有効化 ... いずれもデフォルトで有効(必要に応じて変更する)。
  • S3 保護
  • EKS(Kubernetes) Protection
  • Malware Protection
  • RDS 保護
• 検出結果の更新頻度の短縮
  • デフォルトは 6 時間毎。最短 15 分。
  • 検出内容更新時の通知間隔に影響する。
• S3 バケットへ検出結果のエクスポート
  • 証跡を残す場合に検討。
• 調査を効率化する場合は、AWS Detective の併用も検討(30 日無料)。
  • [神ツール]セキュリティインシデントの調査が捗るAmazon DetectiveがGAしたのでメリットとオススメの使い方を紹介します | DevelopersIO

Guard Duty の全リージョンでの有効化

GuardDuty はリージョン単位で有効化が必要。
全リージョンで有効化する場合は下記を検討(商用環境ではほぼ必須と考えられる)。

• CloudFormation のスタックセットによる一括展開。
• 各リージョンからのアラート通知は後述の SecurityHub による集約と合わせて検討する。

see also

• 一発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った | DevelopersIO
• 複数アカウントのGuardDutyの通知を一つのアカウントにまとめる構成を実装してみた | DevelopersIO

Security Hubの有効化

セキュリティステータスの一元化、
およびペストプラクティスに基づくセキュリティチェックが出来る。
集約に対応する AWS サービスは下記。

• 利用可能な AWS のサービスの統合 - AWS Security Hub

これらの対応サービスのアラートを個別サービスではなく、
SecurityHub 経由で検出できるようになる。
具体的には、 EventBridge でイベント設定をする際、対象が

"source": ["aws.securityhub"]

のような形になる。

see also

• 【AWS Security Hubとは】初心者にもわかりやすく解説 | WafCharm（ワフチャーム） - AIによるAWS / Azure WAFのルール自動運用サービス
• 【はじめてのAWS】AWS Security Hub を設定しよう - サーバーワークスエンジニアブログ
• 【小ネタ】GuardDuty 通知は Security Hub 経由で行うとリージョン集約ができて便利 | DevelopersIO

[前提条件]

• AWS Config の有効化が必要。
  • セキュリティチェックの実態が Config ルールのため。
  • AWS Config を有効にして設定する - AWS Security Hub
• SecurityHub の有効化はリージョン単位で行う。

[料金に関して]

• 30 日間は無料で使用できる。
  • ただし、セキュリティチェックをする場合、AWS Config のルール実行に応じた料金がかかる。
• セキュリティチェックの実施件数と検出件数に応じて従量課金される。
• 設定 - 使用 から利用料金を確認できる。
  • トライアル期間に目安を確認すると良い。

see also

• 料金 - AWS Security Hub | AWS

[操作手順]

1. サービスの Security Hub を開く。
2. Security Hub の使用を開始するより、Security Hub に移動をクリック。
3. 設定
   1. AWS Config の有効化
      1. すべてのアカウントと Security Hub を利用するすべてのリージョンで AWS Config を有効にするよう求められる。
         1. 有効化のための CloudFormation テンプレートのダウンロードが可能。
   2. セキュリティ基礎
      1. [x] AWS 基礎セキュリティのベストプラクティス v1.0.0 を有効化
      2. [ ] CIS AWS Foundations Benchmark v1.2.0 を有効
      3. [ ] PCI DSS v3.2.1 を有効化
4. 設定完了後、下記を任意で変更。
   1. 設定 - リージョン より、集約リージョンを設定する。

セキュリティチェックの結果が出るまでには時間がかかる(24時間?)

Security Hub の全リージョンでの有効化

Security Hub はリージョン単位で有効化が必要。
全リージョンで有効化する場合は下記を検討。

• CloudFormation のスタックセットによる一括展開。
  • ただし、この方法だとセキュリティチェックも有効化される。
  • 後で個別に無効にするか、CLI で SecurityHub の有効化のみ行う。
    • Disabling or enabling a security standard - AWS Security Hub
• 各リージョンでのセキュリティチェックの利用可否。

see also

• AWS Security Hub を CloudFormation で有効化する場合、すべてのスタンダードが有効化されるわけではない | DevelopersIO
• SecurityHubの設定 - Qiita

Security Hub の運用

Security Hub では検知ごとにワークフローが生成される。

• このステータス操作により、状態管理が可能。
  • 確認した限り、Security Hub 上での状態変更は大元のソースの状態には反映されない模様 (GuardDuty で確認)。
• ステータス変更に応じた各種アクションの実行が可能。

see also

• 結果のワークフローステータスを設定する - AWS Security Hub
• カスタムアクションに結果を送信する - AWS Security Hub

IAM ユーザ／グループの作成

ルートアカウントは何でも出来るので、普段は専用の IAM ユーザを使用して操作する。
今回は代替となる管理者権限を持ったユーザを作成する。

• ユーザ個別ではなく、グループに対する権限付与を推奨(管理が煩雑になる)。
• 直接権限を埋め込むインラインポリシーは使用しない。
• ユーザは使い回さない(個別ユーザの作成)。
• MFA を設定する。

see also

• IAM でのセキュリティのベストプラクティス - AWS Identity and Access Management
• BlackBelt IAM Part1

IAM グループの作成

[設定する権限]

下記は AWS が内容を管理するマネージドポリシーになる。

• AdministratorAccess
  • すべてのリソースに対する、すべての操作権限を有する。
  • 後述の請求情報へのアクセス権 Billing も含む。

see also

• AWS Access Analyzer 用の AWS Identity and Access Management 管理ポリシー - AWS Identity and Access Management

[操作手順]

1. サービスの IAM を開く。
2. アクセス管理 - ユーザグループ をクリック。
3. グループの作成をクリック。
4. 設定内容
   1. ユーザグループ名：任意
   2. アクセス許可ポリシー：AdministratorAccess

IAM ユーザの作成

[操作手順]

1. サービスの IAM を開く。
2. アクセス管理 - ユーザー をクリック。
3. ユーザーを追加をクリック。
4. ユーザー詳細
   1. ユーザー名：任意
   2. アクセスの種類：
      1. ■ コンソールアクセスを有効化
         1. コンソールのパスワード
            1. 自動生成またはカスタムパスワードを設定。
         2. □ ユーザーは次回のサインイン時に新しいパスワードを作成する必要があります
5. アクセス許可の設定
   1. ユーザをグループに追加。
      1. 先ほど作成したグループに参加させる。
   2. アクセス権限の境界の設定
      1. 権限を制限したい場合に設定。
      2. IAM エンティティのアクセス許可の境界 - AWS Identity and Access Management
6. タグの追加（オプション）

CLI 操作などを行いたい場合は、別途アクセスキーを生成。

MFA の有効化

権限が強いので、MFA を有効にする。

[操作手順]

1. サービスの IAM を開く。
2. アクセス管理 - ユーザー をクリック。
3. 作成したユーザーをクリック。
4. セキュリティ認証情報 - MFA デバイスの割り当てより、管理をクリック。
5. 以降、ルートアカウントの際と操作は同様。

通知設定

有効化したセキュリティサービスなどの通知設定。
やっておきたいものを記載(方法はいつか別記事)。
いずれも EventBridge で設定。

• SNS
  • 通知先のトピックを作る。E メールを想定。
• AWS Health Dashboard
  • 特定リージョンのイベントでアラートが飛ぶよう設定。
  • AmazonAWS Health によるイベントのモニタリング EventBridge - AWS Health
• GudardDuty
  • Security Hub 経由で検知する。
• コンソールログインアラート
  • CloudTrail 経由でログインを検知する。

サービスの設定

デフォルト VPC の削除

利用可能な各リージョンに自動的に作成されているデフォルト VPC を削除する。

• デフォルトで上限 5 VPC のクォータがあるため、使わない場合は消しておく。
  • 消しても復元できる。後から消そうとすると取り違えも起こり得るため、早めの対処を推奨。
• 使う場合は、設定を充分に見直す(特に IGW を割り当てたパブリック系のサブネット)。
• 最初は抵抗があるが、使っていなければ消しても特に実害はない。

サービスの VPC から操作する(詳細手順は URL 参照)。

see also

• デフォルト VPC を削除/復旧する手順を教えてください | DevelopersIO
• デフォルト VPC を作成、削除、復元する
• Amazon VPC クォータ - Amazon Virtual Private Cloud

EBS のデフォルト暗号化の設定

EBS 作成時のデフォルト設定を変更可能。

• 設定はリージョン単位。
• デフォルトで暗号鍵として AWS 管理のマネージドキーが使用可能。
  • マネージドキーの料金は、API アクセスのみ課金される(無料枠あり)。
  • カスタマーキーを使用する場合、別途作成が必要(こちらは鍵の保有自体に料金が発生)。
• 鍵の保有や暗号化の実施は、組織のポリシーに照らして全体的に検討が必要。
• KMS はリージョンサービスのため、暗号化した場合はクロスリージョンレプリケーションなどの各種バックアップにおいて追加の検討が必要になる。
  • 初期のマネージドキー(aws/ebs)はマルチリージョンキーではない模様。
  • AWS KMS のマルチリージョンキー - AWS Key Management Service

サービスの EC2 - ダッシュボードから操作する(詳細手順は URL 参照)。。

see also

• Amazon EBS 暗号化 - Amazon Elastic Compute Cloud
• 価格 | AWS キー管理サービス (KMS) | アマゾン ウェブ サービス (AWS)

S3 バケットのパブリックブロックの設定

バケットの外部公開ポリシーをアカウント単位で設定できる。

• デフォルトで無効。
  • 未設定状態でもバケットに明示的な許可が必要なため、デフォルトで公開状態にはならない。
• 有効にするとブロック対象となる公開設定をした際にエラーが出るようになる。
  • 既存のポリシー設定より、こちらの設定が優先(最も厳しい内容が適用)。
• 設定はアカウント単位で有効になる(すべてのリージョンに適用される)。
• すべてブロックにしておいて、必要に応じて開放していくほうが安全と考えられる。

2023/04 以降はデフォルトでブロックが有効になる。

2023 年 4 月以降、Amazon S3 はすべての新しい S3 バケットの S3 ブロック パブリック アクセスとオブジェクト所有権 (ACL が無効) のデフォルト設定を変更します。

サービスの S3 から操作する(詳細手順は URL 参照)。

see also

• Amazon S3 ストレージへのパブリックアクセスのブロック - Amazon Simple Storage Service

S3 バケットの暗号化設定

今後デフォルトで SSE-S3 の暗号化が適用される模様。
2023/01 時点では過渡期のためか、まだ未設定状態だった。

• 必要に応じて変更。

see also

• Amazon S3 はデフォルトで新しいオブジェクトを暗号化します | AWS ニュースブログ
• Amazon S3 のデフォルトバケット暗号化の有効化 - Amazon Simple Storage Service

オプション

必要に応じて設定する内容などを記載。

Trusted Advisor の通知設定

デフォルトで有効。
以下の 5 つの観点でベストプラクティス準拠をチェックしてくれる。

• コスト最適化
• パフォーマンス
• セキュリティ
• フォールトトレランス
• サービスの制限

サポートプランに応じて使用できる内容が異なる。

• 特に通知は来ないので、定期的に見たい場合は通知設定より、通知先(E-Mail)を設定する。
  • ただし、Business サポート以上の契約が必要。

Trusted Advisor 通知機能を使用すると、AWS リソースのデプロイの最新情報を常に得ることができます。このサービスにオプトインすると、毎週メールにより通知されます。メール通知のチェックステータスの概要を最新の状態にしておくにはチェックのリフレッシュが必要です。AWS Business Support、AWS Enterprise On-Ramp、および AWS Enterprise Support を利用しているアカウントを対象にチェックの自動リフレッシュが毎週実施されます。AWS デベロッパーサポートと AWS ベーシックサポートを利用しているアカウントは AWS マネジメントコンソールにログインしてチェックのリフレッシュをトリガーする必要があります。

see also

• AWS Trusted Advisor の開始方法 - AWS Support
• よくある質問 - AWS サポート | AWS

Cost Explorer の設定

Budget で予算を作成すると有効化される。
(内容表示には有効化から 24 時間程度の時間が必要。)

下記のオプションを設定可能(デフォルト無効)。

• 時間単位とリソースレベルのデータ(有料)
  • 有料だが時間単位でリソース使用状況が確認できるようになる。
• Amazon EC2 リソースの推奨事項を受け取る
  • 使用状況に応じたインスタンスサイズのレコメンドを受けられるようになる。

see also

• AWS Cost Explorer を用いてコストを分析する - AWS コスト管理
• [アップデート] AWS Cost Explorer が時間単位およびリソースレベルの粒度で確認できるようになりました | DevelopersIO
• 適切なサイズ設定に関する推奨事項によるコストの最適化 - AWS コスト管理

[料金に関して]

• API アクセスはリクエストあたりの課金。

  • Each request will incur a cost of $0.01.

• 前述の時間単位のデータは 毎⽉ UsageRecord 1,000 個あたり 0.01 USD。

  • The cost is $0.01 per 1,000 UsageRecords month.

see also

• AWS Cost Explorer の料金 - アマゾン ウェブ サービス

Cost Usage Report(CUR) の出力

下記を含んだレポートが作成できる。

• アカウント ID
• 請求書および課金情報
• 使用額および単位
• レートとコスト
• 製品属性 (インスタンスタイプ、オペレーティングシステム、リージョ- ンなど)
• 料金属性 (オファータイプ、リース期間など)
• 予約 ID および関連する詳細 (リザーブドインスタンスのみ)

設定後は指定した S3 バケットに対して定期的なレポート出力(最低1日1回)が行われる
(初回レポートは最大 24 時間必要)。

• これ自体は無料。S3 の利用料金は掛かる。

  • 個々のレポートのサイズは 1 ギガバイトを超える可能性があり、すべての行を表示するデスクトップ スプレッドシート アプリケーションの容量を超える可能性があります。

• csv 形式の圧縮ファイル(gzip)が生成される。

see also

• コストと使用状況レポートを作成する - AWS コストと使用状況レポート
• Amazon Athena を使用したコストと使用状況レポートのクエリ - AWS コストと使用状況レポート

コスト配分タグの設定

AWS 試験でよく出題されるリソースに設定したタグを用いてコスト分析するやつ。

see also

• コスト配分タグの使用 - AWS Billing and Cost Management

Billing の詳細設定

Billing - 詳細設定より、下記のオプションが設定可能。

• E メールで PDF 版請求書を受け取る。
  • E メールで送付される請求書を取得する - AWS 請求
• 無料利用枠の使用アラートを受信する。
  • 代替 E メールアドレスを指定可能。
  • AWS 無料利用枠の使用状況の追跡 - AWS 請求
• 請求アラートを受け取る。

秘密の質問の設定

アカウントに追加のセキュリティを設定したい場合(実効性はない気がする)。

秘密の質問を追加することで、AWS アカウントの安全性を高めることができます。お客様がカスタマーサービスへお問い合わせの際、カスタマーサービスはお客様が AWS アカウントの所有者であることを確認するためにこの質問を利用します。

• 電話での問い合わせ時に確認される模様。
• 一度設定すると消す方法はない模様(未検証)。
• 役に立つのかコレ？

see also

• セキュリティチャレンジの質問を設定または変更する - AWS アカウント管理
• JAWS-UG CLI #26 LT - AWSアカウントに秘密の質問を設定する必要はあるのか？

代替連絡先の設定

ルートアカウントのメールアドレス以外の連絡先を登録する際に設定。

see also

• 代替連絡先のアクセスまたは更新 - AWS アカウント管理

命名規則の検討

タグ付けのルールと合わせて検討する。
作り出す前に簡単にでも決めておくことを推奨。

下記は個人的にやっていたこと。

• Release: <yyyy-mm> みたいなタグをつけたコスト配分タグを使った分析。
  • リリースタイミングで随時つけていた。
• EC2 に対する VPC など依存関係がある上位リソースがある場合、名前にそれを含める。
  • 例示) <上位リソース>_<サービス名>_<リソース名>_<オプション>
    • オプションは public など補足情報がある場合に使用。
      • test-vpc_ec2_testsv

see also

• 弊社で使っているAWSリソースの命名規則を紹介します | DevelopersIO

CloudShell の活用

CLI の実行環境が標準で備わっている。

• 立ち上げたらすぐ使える。
  • Azure と違って初期設定不要。
• 1G のストレージが無料で使える。

see also

• AWS CloudShellとは何ですか？ -AWS CloudShell

有効なリージョンの確認

日本国内で使う分には特に有効化は不要。
右上のマイアカウントから有効なリージョンが確認出来る。

• デフォルト設定の変更は不可。追加の有効化のみ可能。

see also

• AWS リージョンの管理 - AWS 全般のリファレンス

準拠法／管轄裁判所の変更

現在(2023/01)は不要な模様。

1. アマゾン ウェブ サービス ジャパン合同会社とは何ですか? 2022 年 2 月 1 日より、アマゾン ウェブ サービス ジャパン合同会社(AWS Japan) が、Amazon Web Services, Inc. (AWS Inc.) に代わり、日本国内の全てのアカウントに対する新しい AWS クラウドサービスの契約当事者となります。したがって、日本国内のすべてのアカウントは AWS Inc. ではなく、AWS Japan からクラウドサービスを購入することになります。日本国内の請求書払いのアカウントは、2021 年 11 月 1 日に、既にAWS Japan に移行されています。

see also

• AWS Japan FAQ's

AWS Health Dashboard によるイベント監視

AWS Health Dashboard で障害状況などが確認できる。

see also

• [アップデート] Service Health Dashboard と Personal Health Dashboard が統合されて AWS Health Dashboard になりました | DevelopersIO