AWSアカウントを作ったらまずはこれをやる
業務・個人利用を問わず、新規にAWSアカウントを取得する機会が増えたので、普段自分がやっていることをまとめてみる。
セキュリティ系
- rootアカウントを多要素認証(MFA)有効化した上で闇に葬る
- 絶対にrootアカウントのアクセスキーは作成しないこと
- ただし、rootアカウントでないとできないことも結構あるので、完全にはつぶせない
- IAMアカウント用パスワードポリシーを設定する
- IAMアカウントを作る or Switch role 用のIAMロールを作る
- いずれにせよ MFA必須
予算管理系
- CloudWatchで請求金額のアラートを設定する
- Cost Explolerを有効化する
- Budgetを設定する
- 現地通貨設定する
監査系
- 全リージョンでCloudTrailを有効化する
- 全リージョンでAWS Configを有効化する
- 以前はAWS Config Rulesの"cloudtrail-enabled"ルールで各リージョンのCloudTrailが有効になっているかチェックしていたが、費用が高い(月額 $2/Rule)ため自前Lambdaファンクションを書いた
- (ビジネスプラン以上のサポートに加入している場合は) AWS Trusted Advisor チェックを実施する
あと何かあったかな?