アカウント作成¶
アカウント作成
https://portal.aws.amazon.com/billing/signup#/start
アカウント作成後にやること¶
- rootアカウントに対するMFAの設定
マイセキュリティ資格情報 > 多要素認証(MFA)> MFAの有効化 > 仮想MFAデバイスで2回分のtokenを設定
<仮想MFAデバイスアプリ>
Microsoft Authenticator
Google Authenticator
- 支払い通貨の変更
マイアカウント > お支払い通貨の設定 > 編集 > USDからJPYに変更 > 更新 - 請求情報へのアクセス許可
マイアカウント > 「IAM ユーザー/ロールによる請求情報へのアクセス」 > 編集 > 「IAM アクセスのアクティブ化」をON > 更新 - アカウントエイリアスの設定
マイセキュリティ資格情報 > ダッシュボード > AWSアカウント > アカウントエイリアス
- 管理者用のIAMグループとIAMユーザーの作成
- AWS Budgetsで予算アラートの作成 (次のステップへ)
メモ¶
- 請求情報はデフォルトでrootアカウントにしか参照できない→IAMユーザーから見えるようにするには許可設定をする必要がある
- アカウントエイリアスを設定してサインインURLをブラウザのお気に入りなどに登録しておくとAWSアカウントが識別しやすくIAMユーザーでのコンソールログインが楽になる
注意点(少し高度な話題)¶
IAMユーザーの設定でMFAを有効化をしても、AWSコンソールへのアクセスは制限できるがAccessKeyとSecretKeyによるCLIなどからのAPIアクセスは可能のまま。
CLIもMFAを経ないと使えないように強制するには、下記参照URLのようなIAMポリシーをIAMユーザーに設定の上、STS(SecurityTokenService)から一時的なCredential(有効期限のあるAccessKey、SecretKey,SessionToken)を発行して利用する。
IAM: IAM ユーザーに MFA デバイスの自己管理を許可する
MFA トークンを使用して、AWS CLI 経由で AWS リソースへのアクセスを認証する方法を教えてください