おじさん。AWSを触る。その1。AWSアカウント作ってみる。

のんびりと

0.はじめに

自分で手を動かすことが減ってきた今日この頃。
コードを書かないとボケるかなぁ。。。
開発環境作るけど何にしよう。。。
そうだサーバーレスしよう。(手段から入る悪い例。。)
ってことでAWSにアカウントを作ります。
記録しておかないと忘れちゃうのでNoteに記録。
でもAWSってコロコロ画面や流れが変わるんですよね。
2019年11月度版ってことで記録します。
あくまでも個人メモです。

1.事前準備1 

  ・メールアドレス    普段使ってるGmailを使います。
  ・クレジットカード   家計と別決済のカードを利用。
              VISAデビットカード使えるよ。
  ・電話番号       自分の携帯電話番号を準備。
  ・インターネットにつながる端末  PCでも、スマフォでも?私はChromeBookで。


2.事前準備2 AWSのアカウントどうしよう。

  ・AWSにアカウントを作るんですが、AWSのマニュアル読んでもピンとこないし、ググったらこんなものを発見。
   リンク:「AWS IAMのマニアックな話」
  ・「AWS IAMのマニアックな話」とAWS公式、Qiitaとクラスメソッドさんを参考にしながら
    1.ルートアカウント用、管理者用、開発用と三つ作る
      (その1では管理者用まで)
    2.アカウントに直接セキュリティグループを紐づけずロールを使う。
    3.ロールは管理者用と開発用を作成(その1では管理者用まで)
    4.それぞれのパスワードも考えておきます。(使い回ししない)

3.AWSのアカウント作ります。

3-1.「AWSにアクセスします」
  リンク:https://aws.amazon.com/jp/register-flow/
 「AWSアカウントを作成する」をクリックします。

画像1

3-2.「AWSアカウント作の作成」
 準備したメールアドレス、パスワード、ルートアカウント用IDを入力。
 よさげなら「続行」をクリック

画像2

3-3.「連絡先情報」を入力します。
アカウントの種類に「パーソナル」を選択。
必要事項を入力していきます。

画像68

ここで「アカウントを作成して継続」を押したらエラー。。。
「市区町村」「都道府県または地域」は半角英数です。

画像68

3-4.支払先情報の入力
準備したクレジットカード情報を入力して「検証して追加する」をクリック。

画像68

3-5.本人確認
電話による本人確認があります。
準備した電話番号、セキュリティチェックを入力し、今回はSMSを選択しました。
「SMSを送信する」を押すとしばらくしてSMSが到着します。

画像68

SMSに送信された番号を入力し「コードの検証」クリックします。

画像7

正しければ「本人確認が終了しました」と表示されます。

画像8

3-6.サポートプランの選択
今回は個人利用なので「ベーシックプラン」を選択。
「無料」をクリックします。

画像9

3-7.パーソナライズ
職種と関心のある分野とか聞いてい来たのでとりあえず入力。
適当に選んで「送信」をクリック。

画像10

画像11

3-8.AWSのルートアカウント作成完了。
「送信」押したらこんな画面になりました。
右上の「アカウント」「AWSマネージメントコンソル」をクリックします。

画像12

ここで終わりではないです。
ルートアカウントを保護しないと。。。

4.AWSアカウントの保護

「AWSアカウントを取得したら速攻でやっておく・・・」とか
「乗っ取られて高額請求」とか怖い話を聞くので保護をすぐに実施します。
ルートアカウント用登録したメールアドレスを入力し「次」をクリック。

画像13

ルートアカウント用パスワードを入力し「サインイン」をクリック。

画像68

とりあえず「アジアパシフィック(東京)」にしておきます。

画像15

サービスがいっぱいありますねぇ。

画像16


4-1.AWSアカウント(ルートアカウント)の保護
「IAM」のページを表示したいので一覧から選択するか
https://console.aws.amazon.com/iam/home」こちらのリンクから
まだ完了していない「セキュリティステータス」が表示されます。

画像17

なんかメッセージが出たので「Continue to Security Credentials」をクリック

画像18

4-2.ルートアカウントのMFAを有効化
「MFAの有効化」をクリックします。

画像19


4-3.MFAデバイスの管理
私はスマフォで認証コードを取得したいので「仮想MFAデバイス」を選択。
ちなみに「Authy」を使っています。

画像20

「QRコード」表示させて仮想MFAデバイスと連携します。

画像21

仮想MFAデバイスから表示されるコードを2回入力し「MFAの割り当て」をクリック。

画像22

正常完了すると「仮想MFAが正常に割り当てられました。」と表示されます。

画像23

4-3.ユーザの追加
管理用のユーザを作成します。
「ユーザの管理」をクリック

画像24

「ユーザの追加」をクリック

画像25

「ユーザ名」に管理者用アカウントを入力し、
「アクセスの種類」は「AWSマネージメントコントロールへのアクセス」だけにチェック。
今回のポリシーは「管理者用アカウントにはアクセスキーを生成しない」と決めていますがどうなることやら。。。
アクセスキーはAWS CLIなどを使うときには必要にになるけどとりあえずいらないので選択しません。

画像26

「コンソールのパスワード」に「カスタムパスワード」を選択し、管理者用アカウントのパスワードを入力。
「パスワードのリセットが必要」はチェックしません。
「次のステップ:アクセス権限」をクリック。

画像27

「アクセス許可の設定」ではデフォルトで「既存のポリシーを直接アタッチ」となってますが、ユーザIDに直接権限は付けないと決めましたので「ユーザをグループに追加」を選択します。

画像28

初期状態なのでグループは何もありません。
「グループの追加」をクリックします。

画像29

「グループ名」に「AdminGroup」を入力しポリシーの「AdministratorAccess」にチェックをして「グループの作成」をクリック。

画像31

「AdminGroup」にチェックを入れて「次のステップ:タグ」をクリック。

画像30

「タグの追加」とりあえず何も入れずに「次のステップ:確認」をクリック

画像33

「確認」画面で確認し問題がなければ「ユーザの作成」をクリック。

画像34

作成されると、管理者アカウント用のAWSマネージメントコンソールへのリンクが表示されるのでメモしておきます。

画像32

4-4.IAMパスワードポリシーの適用
「パスワードポリシーの管理」をクリックします。

画像35

とりあえずこんな感じにして「変更の保存」をクリック。
なぜか「少なくとも1つの番号が必要」「ユーザ自身がパスワード変更が可能」が英語です。
季節によて日本語になったり英語になったりします。
「Require at least one number」
「Allow users to change their own password」

画像36

「セキュリティステータス」の5項目が完了しました。

画像37

4-4.管理者用アカウントにMFA デバイスの割り当て
管理者用アカウントにもMFA デバイスの割り当てを割り当てます。
「ユーザ」から管理者アカウントを選択

画像41

「認証情報」を選択し「MFAデバイスの割り当て」「管理」をクリック。

画像68

仮想MFAデバイスと連携します。

画像68

管理者アカウント用のMFAデバイスの割り当てが完了しました。

画像68


5.請求情報の設定

請求情報の変更をします。
無料枠で始めていますが無料でないサービスもありますので利用に関して気にしておく必要があります。
請求書を見てビックリとならないように設定します。
以下のURLからアクセスするか、右の「マイアカウント」からアクセスします。
https://console.aws.amazon.com/billing/home#/account

画像68

こんな画面が表示されます。

画像43


5-1.お支払通貨の設定

日本円で支払いたいので「お支払通貨の設定」をUSDから変更します。
「編集」をクリック。

画像44

注意書きが出てきますが「Accept」

画像45

「JPY」を選択して「更新」をクリックします。

画像46

支払い通貨がJPYになりました。

画像47

5-2.IAMユーザ/ロールによる請求情報へアクセスの設定
AWSのルートアカウントではなく管理者アカウントで請求情報を確認したいので「IAMユーザ/ロールによる請求情報へアクセス」を編集。

画像48

「IAMアクセスのアクティブ化」にチェックを入れて、「更新」。

画像49

5-3.請求書の連絡設定
請求書の連絡設定を行います。
すべてにチェックを入れて「設定の保存」



画像51


6.請求情報アラームを作成

CloudWatchで請求情報のアラームを作成を行います。
いきなり高額請求来たら嫌ですから設定します。

画像51

CloudWatchのURLは
https://console.aws.amazon.com/cloudwatch/home?region=us-east-1
バージニアへで開きます。

画像52

アラームを選択します。
選択リージョンが「バージニア北部」以外になっていると切り替えるよと行ってきます。

画像53

「アラームの作成」をクリック。

画像54

無料期間中は1円たりとも気にしますので「条件」に「1USD」で設定します。「静的」「より大きい」を選択し「次へ」をクリック。

画像55


画像56

下にスクロールして、「SMSトピックの選択」で「新しいトピックの作成」を選択します。すでにある場合は既存のトピックを選択します。

画像57

すると「トピックの作成」できるので
「トピックの名前」  適当な名前「Default_CloudWatch_Alarms_Topic」
「通知を受け取るメールのエンドポイント」「メールアドレス」
を入力し、「トピックの作成」をクリック。


画像58

トピック作成すると「既定のSMSトピックを選択」できるようになるので「Default_CloudWatch_Alarms_Topic」を選択すと先ほどのメールアドレスが表示されます。
※これ初め理解できなかった。。。

画像59

まだ下にあります。
「アラート名」を「料金アラート」と入力し「次へ」をクリック。

画像61

確認画面が出るので確認後「アラームの作成」をクリック

画像60

請求アラームができました。
作成したばかりだとデータ不足と出ます。

画像62

少し待つと状態OKとなります。

画像63

これで一通り完了です。


6.管理者用アカウントで請求書などを確認

6-1.管理者アカウントでログインします。

画像64

MFA認証します。

画像65

管理者用アカウントで請求書が見れました。

画像66


参考:2109年11月にサーバーレスのハンズオンを半日やってその日に全部環境を消した結果の請求状態。

画像67

今回は以上です。
AWSのアカウント作成、管理者アカウントの作成、請求書設定、アラート設定でした。

次は、開発用アカウント作ってCloud9開発環境かな。。
予定は未定であって決定ではありません。











サポートして頂くと頑張るかもしれません。