ネットワークエンジニアが学ぶAWS

ネットワーク構築のインフラSEがAWSについて学んでいく過程を記事にしていきます!

うっかりを防ぐために!AWSアカウント作成初日にやるべきこと④(無料利用枠の超過アラート設定)

約 7 分
うっかりを防ぐために!AWSアカウント作成初日にやるべきこと④(無料利用枠の超過アラート設定)

今回はAWSアカウント作成初日にやるべきこととして、最後の項目になる「無料利用枠の超過アラート設定」を行います。

AWS作成初日にやるべきこと
① MFAの有効化
② 管理者権限ユーザの作成
③ CloudTrailで操作ログの取得
④ 無料利用枠の超過アラート設定

AWS無料利用枠について

AWSにはアカウント作成から一定の使用量までは、サービスを無料で使える「無料利用枠」が設けられています(詳しくはこちら)。ただ、無料だからとガンガン使っていると「知らない間に無料利用枠を使い切って請求が来ていた…」という事態になってしまうこともあります。AWSでは、無料利用枠を超えそうになったらアラートメールを飛ばしてユーザに通知することができます。その設定を有効にして、無料利用枠が終了するタイミングを把握しておきましょう。
AWSで使用した金額を知るためにも、月々の請求額を確認するための「請求レポート」を有効にする設定も行います。

請求レポートの有効化

無料利用枠の超過アラートと一緒に、月々の支払額が記載された「請求レポート」もS3バケットに保存しておくように設定しましょう。請求レポートはS3バケットに保存するため、cloudtrailで操作ログ用にS3バケットを作成した時と同様に、下記の手順で設定をしていきます。

請求レポートの有効化手順
1. 請求レポート保存先の作成(Amazon S3のバケット作成)
2. S3のバケットポリシー作成
3. 請求レポートの有効化/無料利用枠の超過アラート設定

請求レポート保存先の作成

まずは、Amazon S3でデータを保存するためのバケットを作成します。
※既存バケットに請求レポートを保存する場合は、本手順は省略して「2. S3のバケットポリシー作成」から設定を行ってください。

[Amazon S3 コンソール] (https://console.aws.amazon.com/s3/) を開きます。
IAMユーザによるAWSサインイン画面
『S3 コンソール』画面に移るので、 [バケットを作成する] ボタンをクリックします。
『名前とリージョン』画面に移るので、下記を入力して[次へ]をクリックします。

入力項目
バケット名:(命名には制限事項があるため、確認した後にバケット名を入力してください)
※バケット名は他のAWSアカウントが作成したものも含めて重複はできません。詳細な名称設定のルールはこちらをご確認ください。
リージョン:東京(反応が早いので東京をオススメしますが、好きな地域で問題ないです。「リージョンって何?」という方はこちら


『オプションを設定』 画面に移るので、下記を入力して[次へ]をクリックします。(追加料金が発生する項目は選択しておりません。必要な方は要望に応じて入力項目を変更してください。)

入力項目
・バージョニング #1
同じバケット内でオブジェクトのすべてのバージョンを保持します。:☑・サーバアクセスのログ記録
バケットへのアクセスリクエストを記録します。:☑
ターゲットバケット:(入力したバケットを選択してください。)・デフォルト暗号化 #2
S3 に保存されるオブジェクトを自動的に暗号化します。:☑
AES-256:●

#1 バージョニングとは、S3に保存するデータを上書きする際に、上書きする前のデータ保存しておくかの設定です。誤って上書きしてしまった時のために有効にしておきましょう。
#2 S3バケットに保存するデータを暗号化して保存します。

S3バケット作成画面(バージョニングと暗号化の決定)『アクセス許可の設定』画面に移るので、次の項目を入力して[次へ]をクリックしてください。
※S3は、設定によってインターネットから見ることができます。下記の通りに設定して、インターネットを通してバケット内にアクセスできないようにしましょう。

入力項目
・このバケットのパブリックアクセスコントロールリスト(ACL)を管理する #3
新規のパブリックACLと ~ :☑
パブリックACLを通じて ~ :☑・このバケットのパブリックバケットポリシーを管理する #4
新規のパブリックバケットポリシーを ~ :☑
バケットにパブリックポリシーがある ~ :☑・システムのアクセス許可の設定: ~ を付与する

#3、#4 ACL及びバケットポリシーは、バケットへのアクセスルールを決めるためのものです。

S3バケット作成画面(アクセス許可設定)
[確認] 画面に移るので、内容を確認して[バケットを作成] をクリックします。S3バケット作成画面(設定確認)

S3のバケットポリシー作成

続けて作成したバケットにバケットポリシーというアクセスするルールを決めます。デフォルトの状態では、S3はルートユーザしかアクセスできない状態になっています。しかしこれでは、請求レポートを保存することができません。S3のバケットポリシーを設定して請求レポートの保存を許可します。

『バケット名リスト』画面に移るので、[作成したバケット]をクリックします。

S3バケット一覧(作成したバケットの選択)

『バケットの概要』画面に移るので、[アクセス権限]をクリックします。S3バケットトップ画面

『アクセス権限』画面に移るので、[バケットポリシー]をクリックします。S3バケット(アクセス権限)

『バケットポリシー』画面に移るので、[エディタ]部分に下記をコピペして[保存]をクリックしてください。
※「myBucketName」の部分を設定したバケット名に変換してください。

{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "386209384616"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::<span class="red"><strong>myBucketName</strong></span>"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "386209384616"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::<strong><span class="red">myBucketName</span></strong>/*"
  }
  ]
}

S3バケット(バケットポリシー)これで請求レポートの保存先の準備は完了になります。

請求レポートの有効化/無料利用枠の超過アラート設定

請求レポートの作成を有効にしてS3バケットに保存する設定をしていきます。

[請求コンソール] (https://console.aws.amazon.com/billing/) にアクセスします。『ダッシュボード』画面に移るので、[設定]をクリックします。下記の入力項目に従って入力して、

入力項目
無料使用枠の使用のアラートの受信:☑
Eメールアドレス:(アラートを受信したいEメールアドレスを入力)
請求レポートを受け取る:☑
S3バケットに保存:(レポートを保存するS3バケット名を入力)
※バケット名入力後に[検証]をクリックして誤ったバケット名を入力していないか確認してください。

S3バケット内に請求レポートが保存されていることを確認しましょう。『AWSマネジメントコンソール』から[サービス]をクリックして、表示されるメニューから[S3]をクリックします。AWSマネジメントコンソール(サービス一覧)

『S3 コンソール』画面に移るので、請求レポートの保存先に指定したS3バケット名をクリックします。S3バケット一覧(作成したバケットの選択)

保存された請求レポートが表示されるので、.csvのファイルを開いて内容を確認してみましょう。

S3バケット内(請求レポート)

以上の操作で、「請求レポートの有効化/無料利用枠の超過アラート設定」は完了になります。無料利用枠の制限が近づくと、「AWS Free Tier limit Alert」の件名でAmazonからメールが来ます。メールが来るのは少し先になるとは思いますが、受信した時には内容を確認して料金が発生するタイミングを把握しておきましょう。

アカウント作成初日にやるべきことまとめ

以上、「AWSアカウント作成初日でやるべき」はすべて完了になります。AWSではアカウントの状態に関して、必要なセキュリティ対策が行われているかを確認することができます。実際に確認してみましょう。

『AWSマネジメントコンソール』から[サービス]をクリックして、表示されるメニューから[IAM]をクリックします。

AWSマネジメントコンソール(IAMメニューの選択)
『IAMマネジメントコンソール』のダッシュボード画面に移るので、セキュリティステータスを確認します。IAMコンソール(ダッシュボード画面)

全ての項目に☑マークが入っていることを確認できます。これはAWSのアカウントに関して、適切なセキュリティ対策を実施できていることを示しています。ちょっとした達成感を味わえますね (^^)
以上、「AWSアカウント作成初日での設定」になります。お疲れ様でした!

エンジニア向けの資産形成情報を発信中!

将来にお金を残していくための情報発信をしています。友だち登録をしてくださった方には、資産形成の記事を閲覧するためのパスワードもお教えてしてますので、気になる方は下記から登録お願いします(^^)
AWSの資格を取りたい方向けに僕が合格した過去問レポートもプレゼントしています!

友だち追加

About The Author

カワタン
3年半インフラエンジニアとしてネットワーク運用/構築に携わってきましたカワタンです^_^AWSのことを知ってから、このサービスが大好きになって現在猛勉強中です(*^^*)
AWS専門家になって月収150万目指してます!!!
Follow :

Leave A Reply

*
*
* (公開されません)