AWSで初期環境構築をやったので備忘録的に書いた。

ルートユーザーの作成と保護 MFA（多要素認証）の有効化: アカウント乗っ取りおよび不正利用による高額請求を防ぐため、スマートフォン等の認証アプリ（Google Authenticator等）による2段階認証を設定。

コスト管理とアラート設定（AWS Budgets） 予算アラートの作成: 意図しない課金を早期に検知するため、月間予算（例: $40）を設定。 通知設定: 予算の 80%に達した時点で、登録したメールアドレスへ自動通知されるよう設定。

普段の作業用ユーザー（IAMユーザー）の作成 最小特権の原則（ルート使用の禁止）: 普段の運用でルートユーザーを使用しないため、作業用IAMユーザーを新規作成。 付与権限: 構築検証をスムーズに行うため、AdministratorAccess（管理者権限）をアタッチ。 サインインURLの保存: IAMユーザー専用のログインページURL、および初期パスワードを安全な場所に保管。

AWSのサイトへ接続し、「アカウントの作成」をクリックする。

右上に言語変更ボタンがあるので、クリックして日本語に変更する。

必要情報を入力して、メールアドレスを認証する。

ここからの手順は、AWS へサインアップします。
※英語になっていたら、また右上から日本語を選択。

ここで、アカウントのタイプを選択する必要がある。個人で勉強目的なら迷わず左で。６か月後または最初に配布される$１２０超えたらプロジェクト無効化されるし左でいいと思う。

無料 (6 か月) プロトタイプを学習、実験、構築する 最大 200 USD のクレジットを受け取ります 一部のサービスの無料の使用が含まれます ワークロードはクレジットしきい値を超えて拡張できます AWS のすべてのサービスと機能にアクセスできます 6 か月間の無料期間の終了後、またはすべてのクレジットが使用されたら、有料プランへのアップグレードを選択できます。そうしないと、アカウントは自動的に閉鎖されます。

有料 本番環境に対応したワークロードを開発する 最大 200 USD のクレジットを受け取ります 一部のサービスの無料の使用が含まれます ワークロードはクレジットしきい値を超えて拡張できます AWS のすべてのサービスと機能にアクセスできます すべてのクレジットが使用されると、従量制料金を使用して請求されます。

連絡先情報を入力する。

支払方法を入力する。

環境構築完了まで待つ。

晴れてコンソールが開かれたら、使用するサーバーを日本向け（東京）に変更する。

ルートユーザーのMFA（2段階認証）を設定する
※万が一、アカウントが乗っ取られると数百万の請求が来る恐れがあります。

ユーザー名をクリックしセキュリティ認証情報をクリック

自分の認証情報ページが開かれたら、「MFAを割り当てる」をクリックします。

スマホで、表示（識別する）為の名前を入力します。ここに入れた値が、スマホの認証アプリに複数認証先を登録している場合に表示されるようになります。

※認証方法の差について
・認証アプリケーション
モバイルデバイスまたはコンピュータにインストールされたアプリケーションによって生成されたコードを使用して認証します。
・パスキーまたはセキュリティキー
指紋、顔、または画面ロックを使用して認証します。このデバイスでパスキーを作成するか、FIDO2 セキュリティキーなどの別のデバイスを使用してください。
・ハードウェア TOTP トークン
ハードウェア TOTP トークンまたは他のハードウェアデバイスによって生成されたコードを使用して認証します。

認証アプリケーションを押す。

QRコードを表示したら、スマホのGoogle AuthenticatorでQRコードを読み取る。
※iPhoneはこちら
※Androidはこちら

認証に成功したら、スマホへコードが表示されるので1個目を入力し、値が切り替わったら2個目を入れる。

認証設定が完了。ここでの、AWSアカウントIDはログイン時に使用するので別途メモ推奨。

AWS Budgets（予算アラート）を仕込む
勉強用なので、「月50ドル（約4,000円）」を超えたらメールが飛ぶように設定します。
検索窓に 「Budgets」 と入力してサービスを開く。
「予算を作成」＞「コスト予算」を選び、月間の予算額を「10」などに設定。
「予算の80%（8ドル）に達したら自分のメールアドレスに通知する」というアラートを作ります。

検索窓に、「Budgets」と入力して検索結果を出す。

「予算の作成」を押す。

月次コスト予算を押す。

予算に名前をつけて、ドル換算の金額を入れる。絶対にアラート先のメールアドレスは設定しましょう。

ここを確認して、予算を作成を押す。

これが出ていたら完了。次に、IAMユーザーの作成を行う。

普段の作業用ユーザー（IAMユーザー）を作る
AWSの鉄則として、「普段の作業でルートユーザーは使わない」というルールがあります。
検索窓で 「IAM（アイアム）」 を開く。
「ユーザー」＞「ユーザーの作成」から、あなた専用の作業用アカウントを作ります。
その際、権限（ポリシー）として AdministratorAccess（管理者権限） を付与しておきます。
今後は、この新しく作ったIAMユーザーでログインして作業します。

検索窓で 「IAM（アイアム）」 を入力し検索結果から開く。

IAM（アイアム）ユーザーをクリックする。

「ユーザーの作成」を押す。

ユーザー名を、入力し「AWS マネジメントコンソールへのユーザーアクセスを提供する」にチェックを入れて各入力項目を入力する。
これにチェックを入れていないとコンソールで不便になる。
※workやjob等のメインとは異なるユーザ名にした方が判別しやすいのでおすすめ。

そのアカウントで可能なことについての許可を設定（権限の付与）

1. 「許可のオプション」で 「ポリシーを直接アタッチする」 を選びます。
2. 許可ポリシーの検索窓に AdministratorAccess と入力します。
3. ヒットした AdministratorAccess の左側にあるチェックボックスにチェックを入れます。（これが管理者権限になります）

次に、許可ポリシーの検索窓へ「AdministratorAccess」と入力する。

次へを押す。

登録内容に誤りがないことと許可の権限には「AdministratorAccess」と「IAMUserChangePassword」が含まれていることを確認して、「ユーザーの作成」を押す。

作業ユーザーの作成は完了したが、MFAを有効化しないと意味がなくなるので、ユーザーを表示を押して移動する。
※ここでの情報はテキストなどでバックアップを取ること。

「MFAなしで有効化」をクリックする。

更にポップアップで「MFAなしで有効化」が出るので、クリックする。

先程と同じように認証アプリケーションを有効化する。

完了