個人用AWSアカウントをセットアップする

数年前にアカウントそのものは作っていたんですが、ほとんど使うことがなく放置していました。なんなら支払方法として登録していたクレジットカードは失効してた。

最近になってレンタルサーバーのコスト削減に使えないかと思い始め、また資格試験の勉強用にも使いたくなったため、しっかり設定しなおすことにしました。

参考にしたサイトや記事など

細かい手順はこれらの先達による記事だったり、各項目に貼ったリンク先の公式ドキュメントを参考にしてください。この記事ではわざわざ語りません。画面スクショとったりモザイクかけたりめんどい。

AWSアカウントを取得したら速攻でやっておくべき初期設定まとめ - Qiita

AWSアカウントを作ったら最初にやるべきこと 〜2021年版〜 #devio2021 | DevelopersIO

書いてあることの全部は実施していません。有効化すると従量課金が開始されるサービスもいくつかありますし、個人利用では過剰と感じた部分は省略しています。

やったこと

ルートアカウントのMFAを有効化する

アカウント発行した直後にやっておくべきです。数年も放置しておくことじゃない。

AWS アカウント ルートユーザーで MFA を有効化する - AWS アカウント管理

仮想MFAデバイスにはGoolge Authenticatorを使いました。最近はいろいろなサービスでMFA設定を要求してくるので入れていない人のほうが少ないのじゃないかしら。

ところで、普段使いしないルートアカウントのMFAを普段使いするスマホの認証アプリ内に置いておくのもなんか嫌ですよね。

実は、登録用のQRコードをスクショしてからMFA登録を完了させると、あとからそのQRコードをもう一度読み込むだけでいつでもMFA登録をしなおすことができるようになります。なので、スクショ画像を適切な場所に保管しておけばルートアカウントのMFA登録は認証アプリから消してしまって大丈夫です（ルートアカウント+MFAでログインできることを確認のうえ、自己責任でやってね）。

請求情報アクセスをIAMユーザーに許可する

デフォルトではルートユーザーでしか請求情報が見えません。かといって請求情報を見るためだけにルートユーザーでログインするのも面倒なので、IAMユーザーで確認できるようにします。

IAM チュートリアル: 請求コンソールへのアクセス権の付与 - AWS Identity and Access Management

IAMユーザーを作成する

普段使いするためのアカウントを発行します。必要最小限の権限を与えることがベストプラクティスですが、面倒なのでAdministratorAccessを割り当てます（←おい）。

IAMの設定をいじる機会が少なければPowerUserでも良いと思います。

AWS アカウント での IAM ユーザーの作成 - AWS Identity and Access Management

赤枠内に「IAM Identity Center使えよ（意訳）」と書いてあるので、これはそのうち設定しようと思います。

アカウントエイリアスを設定する

IAMユーザーを作成したらルートユーザーからはとっととログアウトして、IAMユーザーでログインしなおし――たいところですが。
そのまえにアカウントのエイリアスを設定しましょう。

何も設定しないとIAMユーザーログインのたびに12桁のアカウント識別子を入力させられます。めんどいです。
エイリアスを設定しておけば覚えやすくできますし、サインインURLも読みやすい形にできます。

AWS アカウントエイリアスを作成または更新する - AWS アカウント管理

サインインURLをブックマークに保存したら、ようやくルートユーザーからサインアウトしましょう。

IAMユーザーでログインしなおしたら、初期パスワードの変更とMFA登録をこちらでもお忘れなく。

支払方法と支払い通貨を設定する

べつにUSD支払いでいいならそのままでもいいんじゃないでしょうか。メリットが感じられないので日本円支払いにします。なお日本円にしたからといって円安の影響を回避できるわけではありません。

AWS 支払いの詳細設定の管理 - AWS 請求

そして期限切れしていたクレカ情報を削除して新しいクレカを登録。

予算と予算アラートを設定する

新規アカウント発行から12か月以上経過しているので初期無料枠なんてもう消え去っています。一円たりとも払わないなんてつもりはないけれどもだからと言って毎月数万円なんて払っていられない。

予算 (Budgets) を設定し、課金額が予算を超えそうなときにアラートを飛ばすようにしておきましょう。

予算の作成 - AWS コスト管理

私はケチなので 10 USD/月を予算に設定しました。そもそもまだそんなに使う予定ないし。

アラートについては予算アラートとは別にCloudWatchアラートを設定することができますが、前者だけ設定しておけばよさそうです。
予算の作成時にメールアドレスを設定しておけばとりあえずメールは飛びます。ただしこの場合は予算の詳細画面ではアラートアクションが設定されていないように見えます。

Slackあたりに通知させたい場合はSNSトピック作るなりChatbotを設定するなりしてください。

AWSの料金アラートの違い

この記事で AWS Cost Anomaly Detection なるものがあると知ったので、後日設定してみようと思います。Cost Explorer を有効した直後だと触れないのかしらん。

CloudTrailで証跡を残すようにする

万が一にも第三者にアカウントを侵害された場合に「何をされたか」を追跡するため、証跡を残すように設定します。

設定項目はとりあえずデフォルトでセットアップしました。暗号化のためのKMSキー名だけ適当に決めます。

証跡の作成 - AWS CloudTrail

Security Hub 有効化

これもデフォルト設定のまま有効化します。

Security Hub を手動で有効にする - AWS Security Hub

一緒に AWS Config やら GuardDuty やら Detective やらを有効にしておくのが望ましいのでしょうけれど、個人アカウントだし別にいいかと考えそれらは未着手です。従量課金されるし。

やらなくてもよかったこと

これやっとかないといけないんだよな～と思っていたけどらやらなくてもよかったこと。

準拠法と管轄裁判所の変更

よほどのことがない限り訴訟沙汰になることはないはずですが、万が一訴訟された場合にどこで係争するか。
以前はワシントン州法から日本国法に変えるための合意の手続きを踏む必要があったんですが、不要になってました。

AWS との契約は標準で日本法準拠となっていました - サーバーワークスエンジニアブログ

秘密の質問

これも万が一アカウントにログインできなくなった場合に備えて設定することができるんですが、秘密の質問の答えを本人が忘れる可能性があるので未設定にしました。一度設定してしまうと変更のみで解除できなくなるそうです。

答えられないと割と面倒なことになるそうですし。

もしもAWSでMFAが壊れて秘密の質問に答えられなかったら - Qiita

こんなものかな

ひとまずこんな感じで設定しました。

IAM Identity Center と AWS Cost Anomaly Detection はまた後で触ってみたいですね。そのときはまた記事に書こうと思います。

おまけ

これらの設定を実施しておよそ一か月後の請求は 0.96 USD、日本円で140円程度でした。