おじさん。AWSを触る。その1。AWSアカウント作ってみる。
0.はじめに
自分で手を動かすことが減ってきた今日この頃。
コードを書かないとボケるかなぁ。。。
開発環境作るけど何にしよう。。。
そうだサーバーレスしよう。(手段から入る悪い例。。)
ってことでAWSにアカウントを作ります。
記録しておかないと忘れちゃうのでNoteに記録。
でもAWSってコロコロ画面や流れが変わるんですよね。
2019年11月度版ってことで記録します。
あくまでも個人メモです。
1.事前準備1
・メールアドレス 普段使ってるGmailを使います。
・クレジットカード 家計と別決済のカードを利用。
VISAデビットカード使えるよ。
・電話番号 自分の携帯電話番号を準備。
・インターネットにつながる端末 PCでも、スマフォでも?私はChromeBookで。
2.事前準備2 AWSのアカウントどうしよう。
・AWSにアカウントを作るんですが、AWSのマニュアル読んでもピンとこないし、ググったらこんなものを発見。
リンク:「AWS IAMのマニアックな話」
・「AWS IAMのマニアックな話」とAWS公式、Qiitaとクラスメソッドさんを参考にしながら
1.ルートアカウント用、管理者用、開発用と三つ作る
(その1では管理者用まで)
2.アカウントに直接セキュリティグループを紐づけずロールを使う。
3.ロールは管理者用と開発用を作成(その1では管理者用まで)
4.それぞれのパスワードも考えておきます。(使い回ししない)
3.AWSのアカウント作ります。
3-1.「AWSにアクセスします」
リンク:https://aws.amazon.com/jp/register-flow/
「AWSアカウントを作成する」をクリックします。
3-2.「AWSアカウント作の作成」
準備したメールアドレス、パスワード、ルートアカウント用IDを入力。
よさげなら「続行」をクリック
3-3.「連絡先情報」を入力します。
アカウントの種類に「パーソナル」を選択。
必要事項を入力していきます。
ここで「アカウントを作成して継続」を押したらエラー。。。
「市区町村」「都道府県または地域」は半角英数です。
3-4.支払先情報の入力
準備したクレジットカード情報を入力して「検証して追加する」をクリック。
3-5.本人確認
電話による本人確認があります。
準備した電話番号、セキュリティチェックを入力し、今回はSMSを選択しました。
「SMSを送信する」を押すとしばらくしてSMSが到着します。
SMSに送信された番号を入力し「コードの検証」クリックします。
正しければ「本人確認が終了しました」と表示されます。
3-6.サポートプランの選択
今回は個人利用なので「ベーシックプラン」を選択。
「無料」をクリックします。
3-7.パーソナライズ
職種と関心のある分野とか聞いてい来たのでとりあえず入力。
適当に選んで「送信」をクリック。
3-8.AWSのルートアカウント作成完了。
「送信」押したらこんな画面になりました。
右上の「アカウント」「AWSマネージメントコンソル」をクリックします。
ここで終わりではないです。
ルートアカウントを保護しないと。。。
4.AWSアカウントの保護
「AWSアカウントを取得したら速攻でやっておく・・・」とか
「乗っ取られて高額請求」とか怖い話を聞くので保護をすぐに実施します。
ルートアカウント用登録したメールアドレスを入力し「次」をクリック。
ルートアカウント用パスワードを入力し「サインイン」をクリック。
とりあえず「アジアパシフィック(東京)」にしておきます。
サービスがいっぱいありますねぇ。
4-1.AWSアカウント(ルートアカウント)の保護
「IAM」のページを表示したいので一覧から選択するか
「https://console.aws.amazon.com/iam/home」こちらのリンクから
まだ完了していない「セキュリティステータス」が表示されます。
なんかメッセージが出たので「Continue to Security Credentials」をクリック
4-2.ルートアカウントのMFAを有効化
「MFAの有効化」をクリックします。
4-3.MFAデバイスの管理
私はスマフォで認証コードを取得したいので「仮想MFAデバイス」を選択。
ちなみに「Authy」を使っています。
「QRコード」表示させて仮想MFAデバイスと連携します。
仮想MFAデバイスから表示されるコードを2回入力し「MFAの割り当て」をクリック。
正常完了すると「仮想MFAが正常に割り当てられました。」と表示されます。
4-3.ユーザの追加
管理用のユーザを作成します。
「ユーザの管理」をクリック
「ユーザの追加」をクリック
「ユーザ名」に管理者用アカウントを入力し、
「アクセスの種類」は「AWSマネージメントコントロールへのアクセス」だけにチェック。
今回のポリシーは「管理者用アカウントにはアクセスキーを生成しない」と決めていますがどうなることやら。。。
アクセスキーはAWS CLIなどを使うときには必要にになるけどとりあえずいらないので選択しません。
「コンソールのパスワード」に「カスタムパスワード」を選択し、管理者用アカウントのパスワードを入力。
「パスワードのリセットが必要」はチェックしません。
「次のステップ:アクセス権限」をクリック。
「アクセス許可の設定」ではデフォルトで「既存のポリシーを直接アタッチ」となってますが、ユーザIDに直接権限は付けないと決めましたので「ユーザをグループに追加」を選択します。
初期状態なのでグループは何もありません。
「グループの追加」をクリックします。
「グループ名」に「AdminGroup」を入力しポリシーの「AdministratorAccess」にチェックをして「グループの作成」をクリック。
「AdminGroup」にチェックを入れて「次のステップ:タグ」をクリック。
「タグの追加」とりあえず何も入れずに「次のステップ:確認」をクリック
「確認」画面で確認し問題がなければ「ユーザの作成」をクリック。
作成されると、管理者アカウント用のAWSマネージメントコンソールへのリンクが表示されるのでメモしておきます。
4-4.IAMパスワードポリシーの適用
「パスワードポリシーの管理」をクリックします。
とりあえずこんな感じにして「変更の保存」をクリック。
なぜか「少なくとも1つの番号が必要」「ユーザ自身がパスワード変更が可能」が英語です。
季節によて日本語になったり英語になったりします。
「Require at least one number」
「Allow users to change their own password」
「セキュリティステータス」の5項目が完了しました。
4-4.管理者用アカウントにMFA デバイスの割り当て
管理者用アカウントにもMFA デバイスの割り当てを割り当てます。
「ユーザ」から管理者アカウントを選択
「認証情報」を選択し「MFAデバイスの割り当て」「管理」をクリック。
仮想MFAデバイスと連携します。
管理者アカウント用のMFAデバイスの割り当てが完了しました。
5.請求情報の設定
請求情報の変更をします。
無料枠で始めていますが無料でないサービスもありますので利用に関して気にしておく必要があります。
請求書を見てビックリとならないように設定します。
以下のURLからアクセスするか、右の「マイアカウント」からアクセスします。
https://console.aws.amazon.com/billing/home#/account
こんな画面が表示されます。
5-1.お支払通貨の設定
日本円で支払いたいので「お支払通貨の設定」をUSDから変更します。
「編集」をクリック。
注意書きが出てきますが「Accept」
「JPY」を選択して「更新」をクリックします。
支払い通貨がJPYになりました。
5-2.IAMユーザ/ロールによる請求情報へアクセスの設定
AWSのルートアカウントではなく管理者アカウントで請求情報を確認したいので「IAMユーザ/ロールによる請求情報へアクセス」を編集。
「IAMアクセスのアクティブ化」にチェックを入れて、「更新」。
5-3.請求書の連絡設定
請求書の連絡設定を行います。
すべてにチェックを入れて「設定の保存」
6.請求情報アラームを作成
CloudWatchで請求情報のアラームを作成を行います。
いきなり高額請求来たら嫌ですから設定します。
CloudWatchのURLは
https://console.aws.amazon.com/cloudwatch/home?region=us-east-1
バージニアへで開きます。
アラームを選択します。
選択リージョンが「バージニア北部」以外になっていると切り替えるよと行ってきます。
「アラームの作成」をクリック。
無料期間中は1円たりとも気にしますので「条件」に「1USD」で設定します。「静的」「より大きい」を選択し「次へ」をクリック。
下にスクロールして、「SMSトピックの選択」で「新しいトピックの作成」を選択します。すでにある場合は既存のトピックを選択します。
すると「トピックの作成」できるので
「トピックの名前」 適当な名前「Default_CloudWatch_Alarms_Topic」
「通知を受け取るメールのエンドポイント」「メールアドレス」
を入力し、「トピックの作成」をクリック。
トピック作成すると「既定のSMSトピックを選択」できるようになるので「Default_CloudWatch_Alarms_Topic」を選択すと先ほどのメールアドレスが表示されます。
※これ初め理解できなかった。。。
まだ下にあります。
「アラート名」を「料金アラート」と入力し「次へ」をクリック。
確認画面が出るので確認後「アラームの作成」をクリック
請求アラームができました。
作成したばかりだとデータ不足と出ます。
少し待つと状態OKとなります。
これで一通り完了です。
6.管理者用アカウントで請求書などを確認
6-1.管理者アカウントでログインします。
MFA認証します。
管理者用アカウントで請求書が見れました。
参考:2109年11月にサーバーレスのハンズオンを半日やってその日に全部環境を消した結果の請求状態。
今回は以上です。
AWSのアカウント作成、管理者アカウントの作成、請求書設定、アラート設定でした。
次は、開発用アカウント作ってCloud9開発環境かな。。
予定は未定であって決定ではありません。
サポートして頂くと頑張るかもしれません。