Skip to content

Instantly share code, notes, and snippets.

@kenmori

kenmori/AWS認定ソリューションアーキテクト までの道1.md

Last active September 22, 2019 09:08
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save kenmori/975e3cff911870be3a1a866ed6ec699f to your computer and use it in GitHub Desktop.
Save kenmori/975e3cff911870be3a1a866ed6ec699f to your computer and use it in GitHub Desktop.
Download ZIP
AWS認定ソリューションアーキテクト までの道1
Raw
AWS認定ソリューションアーキテクト までの道1.md

AWS認定ソリューションアーキテクト までの道1

index

  • インスタンス生成(EC2インスタンスを作ってpemファイルをダウンロード、その後それをつかってsshする)
  • AWSを使う際に一番最初に対応すべきこと

EC2インスタンスを作ってpemファイルをダウンロード、その後それをつかってsshする

ダウンロードしたものを.sshへ移動。フォルダがなければ作る

mv ~/Downloads/keyname.pem ~/.ssh

権限を変更

chmod 400 ~/.ssh/keyname.pem

秘密鍵を使ってインスタンスにログインする

ssh -i ~/.ssh/keyname.pem ec2-user@xxxxx (ipアドレス) -iは秘密鍵を使って入るオプション

ssh [オプション] ホスト名 [コマンド]

-i 秘密鍵ファイル(identityファイル)を指定
-l ログインユーザー名を指定
-p ポート番号を指定
-x x11の転送を有効化
-1 SSHのプロトコルバージョン1を使用
-2 SSHのプロトコルバージョン2を使用
-4 IPv4を使用

ssh・・・httpと一緒のプロトコル。sshでとはそのプロトコルを使ってリモートサーバーへアクセスして操作をするということ

AWSを使う際に一番最初に対応すべきこと

  • ルートアカウントを停止する
  • 多要素認証を有効化する
  • AWS Cloud Trailを有効化する
  • AWSの請求書レポートを有効化する

ルートアカウントを停止する

ルートアカウントは料金設定などを変えるような権限で、それをAWS上の管理として使うことはない。 セキュリティ上もまずいのでそれを停止する。

IAMの独自のアカウントを作る(管理者権限のアカウントを作ってそちらにメルアド登録をする)

ユーザーの管理

-> ユーザー名 任意

-> プログラムによるアクセス on

-> ASWマネジメントコンソールへのアクセス on

-> カスタムパスワード 任意のPW

-> 次のステップ

グループを作成

グループ内にユーザーを入れていき管理するのが通常

-> 名前 Administrator

-> 一番上のAdministoratorAccessを選ぶ(AWSへのサービスフルアクセスできる権限)

-> タグ追加

-> キー Role, Admin

-> 次のステップ

-> ユーザーを作成

IAM パスワードポリシーの適用

パスワーを強化することができる

多要素認証を有効化する

  • さまざまな認証をする機能を有効化する。defaultではfalse

Identity and Access Management (IAM) ->

ルートアカウントの MFA を有効化 ・・・ワンタイムパスワードなどでもう一つパスワード以外の設定を追加できる。ルートアカウントでそうすることでセキュリティが高まる -> ダイアログx

-> 仮想 MFA デバイス

-> QRコードを表示。スマホのGoogle Authenticatorで認証する(Appダウンロードする)

-> Google AuthenticatorのQRコードを主キャンして1、2にスマホからの番号を入れて登録

-> 今後ログイン時に番号を入れることになる

AWS Cloud Trailを有効化する

誰がどのようにアクセスしたかをログしてくれる。

defaultでは有効化されているが データに関してのログ情報に対しては有効化されていないのでその設定をする

-> イベント履歴でログが見れる

-> 証跡情報 -> 証跡の作成 (ログファイルの出力)

90日間はdefaultで設定されているが、それ以降は消えてしまうのでその設定をする

-> 証跡名* morita20190922_log (適当)

S3にログを溜め込むのでS3を作る必要がある。S3バケット名は全世界でユニークな名前を指定する必要がある

-> ストレージの場所 -> morita_20190922 morita20190922

-> 作成

今後ここにログが溜まって行く ずーっと溜めていくとS3の無料枠を超えてしまうので、アラートが来たらここを削除する

AWSの請求書レポートを有効化する

cloudWatchを使っていくらつかったらアラートをあげるなどの設定をしていく

  • 上部グローバルナビの kenji@moritaのところのタブをクリック
  • マイ請求ダッシュボード -> アクセス権限がないと出て来てしまう。これは請求情報に関してはルートアカウントしか操作できないため -> ルートアカウントに行ってIAMユーザーに請求情報閲覧権限付与する。ルートアカウントが管理するのをやめる

マイ請求ダッシュボード -> Cost Explorer (請求を視覚的にしてくれる) -> コストエクスプローラーを有効

-> 次に Billing の設定 でメールアドレスの設定などをする -> 設定の保存

CloudWatch(モニタリングツール)設定

CloudWatch -> 左ペイン 請求(請求ダッシュボードの設定をしないと表示されない) 請求アラームにある アラームの作成 が出てこない場合、東京リージョンだと表示されない -> バージニア北部でないとこの設定ができないのでリージョンをバージニア北部に設定し直す必要がある

バージニア北部 -> 請求 -> アラームの作成 -> Currency -> JP 円建て -> アラーム条件を定義より大きい -> 1000 JPにする 1000円以上超えたらアラート -> 次に -> SNSトピックの選択 -> 新しいトピックの作成 -> Billing_alarm -> 作成

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment