【AWS SAA対策 Udemy】Day1対応の実施
AWSで最初に設定すべき事
ルートアカウントの利用を停止する
権限が強すぎるので、ルートアカウントは停止して別の権限がついたアカウントを利用する
IAMで管理する
ここでアクセス管理ができる
ルートユーザー = 最初に作ったアカウント
IAMで権限を持ったユーザーを作成する
グループにユーザーを入れる事で権限を付与する
https://gyazo.com/a826609cbf43bc5db20b1854f99aa530
次にタグを追加できる
直接アカウントに権限を追加する
IAMでパスワードポリシーを変更する
https://gyazo.com/b3a16a5ce4b0268c8e2c61f5bd59f091
めっちゃしっかりしてるな〜
AWSのお金の管理などはルートユーザーを使って、それ以外だとIAMでユーザーを増やしていくのか
多要素認証を有効化する
セキュリティ認証状態ページでMAFを設定する
2020/12/22
久々に再開します。
Day1-18
AWS Cloud Trailを有効化する
ログを記録する
S3バケットを使っていると段々と課金が発生してしまう
S3バケットはグローバルで全ユーザーで使えてしまうので細かく設定を行う
ログファイルを暗号化する設定
SSE-KMS
AWS KMSで先に暗号化する為の設定が必要
prefixでフィルタリングもできる
有料になる前に消す
イベント履歴が集まる
CloudTrail Insights
証跡を有効化してログを収集する
Day1-20
AWSの請求レポートを有効化する
ルートアカウントでIAMユーザでも可能にする
アカウント情報から設定できる
IAM アクセスのアクティブ化にチェック
https://gyazo.com/476cfd1dde59c80e930604d9c1865347
無料利用枠の使用アラートを受信すると請求アラートを受け取るを受け取るように設定
Day1-22
Cloud Watcha
請求アラームの設定は東京リージョンだと出来ない
リージョンを自由に切り替えて様々な国で作れる
一定の金額を超えた場合に請求アラームを通知してメールを送るようにする
https://gyazo.com/38f3f2e011c4382f8ebd60f0dd063425
裏側でAmazon SNSを使って通知を送ってくれる
AWSからメールが送られてきて、メール認証を行う
リージョンは東京に戻す