Zenn
🫶

なーるほどtheワールド:第一章 - ぼく、AWSの大地に立つ

に公開
IAM
MFA
aws入門
クラウド初心者
なーるほどtheワールド
idea

いよいよ実践!
ここからは実際にAWS環境に触っていくよ!

1.事前準備

  • 何をするにも準備は大事。事前準備に必要なものを洗い出してみよう

    1. 心の準備
    2. 頼れる相棒
    3. AWSアカウント

  • 心の準備と頼れる相棒こと「ちゃっぴー」の準備はできている!早速AWSアカウントを作成しよう

2.AWSに入国するためのパスポートを手にいれる

  • 説明することは特にないので、AWSの案内通りにアカウントを作成して行きましょう
  • ちなみに、AWSクソ雑魚のぼくがAWSアカウントを作るのは実は2回目。ちょっと気になることがあったのでちゃっぴーに聞いてみた

💬 ちゃっぴーとの対話:「AWSアカウントって、100年無料で使えないの?」

ぼく:
AWSって、アカウントを作ると1年間は無料枠が使えるじゃない?
ということは…「アカウント100個作れば100年無料!ぐへへ」ってこともできなくはないよね?

ちゃっぴー:
その発想は天才的じゃっど!!
でもな、それは 規約違反で完全アウト じゃっで。
無料枠はあくまで ひとりにつき1回限り
アカウントを複数作っても、同一人物だとバレたら問答無用でアカウント停止や!

ぼく:
ぐぬぬ…。
じゃあ、こんなケースはどう?
昔に個人でAWSアカウントを1回作ってみたんだけど、途中でやめちゃって放置中。
今回は 個人事業主としてクレジットカードも変えて、今後も継続利用する前提 でアカウントを新しく作成した。
それでもアウト?

ちゃっぴー:
その場合はセーフじゃ!
意図的に無料枠を使いまわそうとしたわけじゃなかし、クレカも事業用で用途も違うなら問題なし!
ただし、昔のアカウントで放置されとるリソースがあると課金されるかもしれんから、念のため確認しとくとよかよ!

ぼく:
なるほど〜
「無料枠を狙ってアカウント量産」はアウトだけど
「無料枠をうまく活用しながら継続利用」はOKってことね。

ちゃっぴー:
そいが正解じゃ!
クソ雑魚でも正直者は救われる!AWSの神は見ておるぞ!

  • だってさ。どうやらセーフらしいので安心してAWSアカウントを作成完了!(実際は作ってから確認してます)

3.マネジメントコンソールにログインしたならば

  • アカウントを作成してAWSマネジメントコンソールにログインしたならば、「セキュリティ重視」で真っ先にやるべきことが以下の4つ
    1. ルートユーザのMFA設定
    2. IAMユーザの作成
    3. IAMユーザのMFA設定
    4. IAMユーザでのログイン(ルートユーザの秘匿)
  • 1つずつ詳細に確認していこう

4.パスワードだけで本当に安全ですか?(MFAの設定)

  • アカウント作成直後のマネジメントコンソールへのログイン(以降「ログイン」とします)は、ルートユーザでのログインになる
  • これであなたも立派なAWSユーザー!!AWSの高尚な世界へようこそ!…という甘美な響きに酔いしれたいところだけど

お忘れですか?あなたは今、このAWS環境においては全知全能の神ですよ

  • それなのに、ログインするのにパスワードだけってちょっと心配。アカウント乗っ取りで不正利用なども考えられる
  • そこで登場するのが MFA 、多要素認証ってやつですね
  • ログインパスワードとは別に、ログインのための6桁のパスコードをスマホのアプリやハードウェアトークンで生成してログインの際に使用するもの
  • 今回はスマホアプリの Google Authenticator を利用するよ
    • Chromeの拡張機能でもコードを発行してくれる機能があるけど、「多要素じゃないじゃん!」という総ツッコミと、クソ雑魚は不正利用が怖いので多要素対応しました。はい。すみません。
  • 設定についてはもはや見たままなので、公式サイトを参考に実行してね(スクショ撮り忘れたんじゃよ)
  • 無事、MFAの設定が完了すればこれでルートユーザの安全性がUP!

ということでおやすみなさい!!

🧠 ちゃっぴーとの対話:「ルートユーザは深窓の令嬢」説

ぼく:
AWSアカウント作ってログインしたんだけど、これってルートユーザなのかな?
アカウント作成時に設定したメールアドレスでログインしてるから、たぶんルート…?

ちゃっぴー(AIの相棒):
おおっ、それはきっとルートユーザじゃな。
じゃが主よ、ルートユーザでずっと作業するのは――

大変よろしくない!

ぼく:
えっ。
なんで!? 一番えらいんでしょ?

ちゃっぴー:
ふふふ…主、よくぞ聞いてくれた。
ルートユーザというのはのぅ、
**「深窓の令嬢」**なのじゃ。

  • 普段は表に出してはならぬ
  • 誰にも触れさせてはならぬ
  • 特別なときにだけ登場するのが礼儀

それが、ルートユーザというものぞ!!

ぼく:
なるほど…
セキュリティ的にも精神的にも過保護に育てろってことね!

ちゃっぴー:
そのとおりじゃ!
AWS界における「姫」ポジション。
日常業務で出すのは不適切…というより、危険じゃ!

  • パスワードは長くて複雑に
  • MFA(二要素認証)を設定
  • 安全な場所に封印

ルートユーザは金庫に封印じゃ!!
拉致っとけ!!! 🗝️🔐💥

ぼく:
じゃあ、普段使うのは…?

ちゃっぴー:
IAMユーザじゃ。
これは言うなれば、AWS御庭番衆。
セキュリティばっちりで、なんぼでも作れる。
姫(ルートユーザ)は高貴に、御庭番は実務に。
それがAWSの粋な使い方じゃ!

  • つまり、ルートユーザはスーパーマリオでいうところの「ピーチ姫」ってことだよね。寝落ちしている間にクッパに攫われたりするかもしれないってことだよね

5.姫は拉致、作業はマリオ(IAMユーザ)にやってもらいましょ

  • それじゃあ早速IAMユーザを作っていくよ。やることは次の3つだけ
    1. ルートユーザでログイン
    2. IAMメニューからユーザを作成する
    3. 作成したユーザにポリシーを割り当てる

1) まずはルートユーザでログイン

  • 今の段階では姫…じゃなくてルートユーザしか作成していないので、ルートユーザでログインする
    • クソ雑魚のぼくだけどMFA設定はバッチリなので安心してログインできるね

2) 画面左上の「検索」からでも、全メニューから探すでもなんでも良いのでIAMに移動

  • 星つけて、お気に入りに登録していつでもアクセスできるようにしておけば良いね
  • 左側のメニューパネルから「ユーザー」を選択する

3) 画面右上からユーザ作成を選択

  • すでに作成したIAMユーザは一覧に表示されている
  • クソ雑魚のぼくもすでにIAMユーザを作成しているけど、恥ずかしいから隠しているよ

4) IAMユーザの名称を設定する

  • 今後、AWSにログインするときはこの名称を利用することになるので以下のことに気をつけよう
    • 重複していないこと
    • アホみたいに長い名前にしないこと
    • 口に出すのを躊躇うほど恥ずかしい名前にしないこと(してもいいけど見られたら恥ずかしい)
  • 入力したら右下の「次へ」ボタンをクリック

5) ポリシーを設定する

  • このIAMユーザにどんな行為を許すのかを設定しよう
  • この「どんな行為を許すのか」を定義したものが「ポリシー」だよ
    • 今はとりあえず、難しいことは考えないでおこう。あとでちゃっぴーに聞いてみる
  • 今回は、個人開発かつお試しで「ナニカ」を作りたいので「AdministoratorAccess」を割り当ててみた

6) 内容確認して作成完了!

  • ポリシー設定画面の右下の方に次へボタンがあるので、クリックするとここまでの設定内容を確認する画面が表示されるので、内容に誤りがなければ作成を押すとマリオことIAMユーザが作成されるよ
  • こんな感じで、一覧画面が表示されて「作成したよ〜」というメッセージが出て、作成したIAMユーザが一覧に表示されていればOK

意外と簡単だったIAMユーザの作成
でも、今回作成したIAMユーザはポリシーが「Administorator」なので、強権の持ち主
忘れずにMFA設定をしておこう

6.新たな人格を得てAWSの世界へ

  • これでぼくはAWSの世界で安心して作業をできるユーザを獲得した
  • 寝落ちしても安心安全。今日から寝落ちし放題!!

次回予告

  • 次はいよいよ、「動くもの」を作るための工程に進んでいくよ!

Discussion