0829

LOGS

  • 俺の AWS アカウント,以前無邪気に生やした S3 と Amplify のリソースばっか
  • 本当これしか使ってなかったんだなーと
  • AWS の続き
    • この記事に頼る
    • https://qiita.com/ti_and6id/items/08f96d965aed0d85ae23#iam%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E3%81%AE%E9%81%A9%E7%94%A8
    • AWS Budgets を使った請求アラート
      • 予算の項目 > 予算の作成
      • テンプレートを使用(シンプル) が用意されているーありがてー
      • とりあえず,月次コスト予算 で,ざっくり $30 くらいに
      • メールは個人と会社の方にも念の為
      • やっぱり $50 にした
    • コストと使用状況レポートの設定
      • これレガシーページなんだ
      • レポート作成
      • MyCostReport そのまんま
      • これ S3 バケットに放り込まれるのか
        • 一意な名前にしないといけないらしい
        • とりあえずバケットの作成
          • リージョンは アジアパシフィック(東京)
          • バケット名を myTerraformBucket にしようとしたら,大文字は含められないらしい
          • 小文字にしたら,既に存在するらしい.これはつまり全世界のユーザーで一意じゃないとだめ?
          • kkeethterraformbucket にした
        • S3 パスプレフィックス が必須とのこと
        • myS3PathPrefix
        • 無事にレポート作成完了
    • 操作履歴とリソース変更履歴の記録
      • 「いつ」「だれが」「どのリソースを」「そのように操作したか」「結果どうなったか」といった情報などがログに適切に記録されている必要がある

        AWS CloudTrailを利用することで、AWSのサービスを利用する際の行動履歴をログに記録し、継続的に監視し、保持することができます(操作履歴)。 AWS Configにてリソースの変更履歴、構成情報を管理・監視することができます(リソース変更履歴)。

      • AWS CloudTrail 初耳
        • 証跡の作成 > 証跡名 は my-terraform-management-events にした
        • 作成完了
        • これも S3 バケットに放り込まれるっぽいな
      • 続いて AWS Config の有効化
        • 今すぐ始める
        • デフォルト設定のまま次へ
          • これも S3 バケットか
        • AWS マネージド型ルール が全然わからんので TODO 後で調べる
        • 作成完了
        • このあたりはさすがに公式のハンズオン動画見たほうが説明があるので良さそうだ
    • 脅威検知
      • Amazon GuardDuty の有効化

        Amazon GuardDuty - すべての機能 お客様の AWS 環境で脅威検出機能をぜひご体験ください。 GuardDuty Malware Protection for S3 のみ Amazon S3 バケットに新たにアップロードされた悪意のあるファイルを検出します。Amazon GuardDuty を有効にする必要はありません。

      • の2つがあるが,一旦上の方で
      • 30日の無料トライアル とある点に注意
    • マネコンサインイン通知
      • 自分以外の人がサインインした場合把握したい
      • AWS User Notifications > 通知ハブ
      • よく使うであろうリージョンを選ぶ
        • 今回は 北部ヴァージニア東京 の2つ
      • 配信チャネル
        • メールアドレスと,名前を設定
      • 通知設定
        • 通知設定を作成
        • 名前と説明
          • 任意の名前を設定.説明は端折る
        • イベントルール
          • AWS のサービスの名前:AWS Console Sign-in
          • イベントタイプ:サインインイベント任意のユーザー
          • リージョン:全リージョンを洗濯
        • 配信チャネル
          • チャネル:Eメール
          • 先ほど配信チャネルで追加したEメールの受信者と名前を設定
            • なんかメールアドレスが保留中だったので再検証したら,再度設定し直しだった…
      • 解消して通知設定を更新しようとしたらエラー

        • Account 531660037564 is not opted into [af-south-1, ap-east-1, ap-southeast-4, ap-southeast-3, ap-south-2, ca-west-1, eu-south-1, eu-south-2, eu-central-2, me-south-1, me-central-1, il-central-1]

        • 物理名で教えてくれー
        • よしなに変更
  • さて,Terraform の続き
    • AWS CLI をインストール
    • 既にインストールされていたが,一応最新バージョンほしいので以下を実行

      $ brew install awscli

    • AWS マネコンから AdministratorAccess ポリシーがアタッチされたアクセスキーを払い出す
      • このドキュメントを見ろと
      • https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_access-keys.html
      • ログインしてから右上の ユーザー名 > セキュリティ認証情報 にアクセス
      • アクセスキーを作成
        • 既に2つのアクセスキーがある場合は,ボタンが非活性に成るらしい
      • ユ ースケースCLI を選択し,確認のチェックを入れて次へ
      • タグ名 my-first-access-key で作成
      • 自動でステータスは Active になる模様
    • 続いて > aws configure を実行
    • と思ったが,会社の方でも同じもの使っていて,個人の accesskey とバッティングするので一旦今日はここでストップ

results matching ""

    No results matching ""