こんにちは、COクラウド基盤の瀬戸山です。

今回は自身のAWSの知識理解を深めるためにハンズオンで実際にやってみた所感をまとめました。

AWSを触り始めるにあたって、まずはアカウントのセキュリティと監視をきちんと整えるところを実施しました。 以下の初期設定を一通り実際にやってみると「これを最初にやっておくのとそうでないのでは安心感が全然違うな」と実感しました。

■IAMユーザー作成

まずはIAMユーザーを作成して、管理者権限を付与しました。ポイントは「ユーザー個別に権限を付けるのではなく、グループを作ってそこにまとめる」こと。これだけでも管理のしやすさが変わりそうでした。

■MFA（多要素認証）の設定

次にMFAを設定しました。 スマホの認証アプリと連携させてみたんですが、数分で設定できるのに安心感が段違いでした。 「パスワードが漏れても突破されない」という状態を作れるのはやっぱり大事です。

■請求アラートの設定

AWSに限らないと思いますが、「気づかないうちに課金されていた」ことが怖いところになります。 CloudWatchで請求アラートを有効化して、一定の金額を超えたらメールが飛んでくるようにしました。 小規模検証のつもりで使っていても、意外と料金が積み上がることがあるので、これは重要だと思いました。

■デフォルトRegionの選択

意外と盲点だったのがRegion設定でした。 デフォルトが「バージニア北部」になっていて、「あれ、東京リージョンに作ったつもりが違う場所に…」なんてことがあるなと感じました。 個人的には東京を基本にして、必要に応じて他リージョンを使うようにしようと思いました。

■CloudTrailの有効化

操作履歴を記録してくれるCloudTrailを有効化しました。 「誰がいつ何をしたか」が残るので、誤操作の確認やセキュリティ上の監査に役立ちます。ログをS3に保存する設定も簡単にできました。

■AWS Configの有効化

最後にAWS Configも有効化してみました。 これはリソースの状態や変更履歴を記録してくれるサービスで、「設定が意図せず変わっていないか」を後から追えるので便利だと感じました。 まだルールを細かく作り込んではいないですが、「ちゃんと有効化しておくだけでも安心材料になるな」と思いました。

■まとめ

今回、IAMユーザー作成・MFA・請求アラート・Region設定・CloudTrail・Configといったアカウント基盤の設定を一通りやってみました。 正直、これをやっておくだけで安心感と信頼感がまるで違うと感じました。 「AWSを学び始めるなら、まずはセキュリティと監視から」これが今回の学びでした。