実際にすべてやるかは状況次第ですが、とりあえずドキュメントのリンクをまとめてます。
やることとそのドキュメントのリンク
ルートユーザーの設定
はじめにマスターとなるAWSアカウント(管理アカウント)で利用するルートユーザーを保護します。
マルチアカウントに関連する設定
昨今はマルチアカウントでの管理もよく行われると思います。
AWS Organitzations
AWS Organitzations を「組織」というリソースを作成しておきます。
- What is AWS Organizations? - AWS Organizations
- Creating an organization with AWS Organizations - AWS Organizations
大元となる親のAWSアカウントが管理アカウントとなります。請求管理等はこのアカウントが担います。 基本的にこのアカウントには何かリソースを作ったりせず、必要なものは AWS Organizations から別途AWSアカウント(メンバーアカウント)を作ってそこで管理します。
AWSアカウントを追加で作成するときは AWS Organitzations から実行して一元管理できるようにします。
AWS メンバーアカウントのルートユーザーは無効化しておくのが良いようですがドキュメントに記載のベストプラクティスを見つつ、必要な対応を実施します。
ユーザー管理 (AWS IAM Identity Center)
各アカウントでAWS IAMのIAMユーザーは使わず、AWS IAM Identity Center を使って、ユーザー管理をします。 AssumeRole を別途設定せずとも、専用の管理画面から各AWSアカウントにアクセスでき、アクセスキーも都度一時認証用のものを発行する形になって便利です。
AWS Control Tower
AWS Organizationsと連携し、デフォルトで、監査用、ログアーカイブ用のAWSメンバーアカウント環境を作成してくれます。 他のAWSメンバーアカウントを追加する際には、CloudFormationスタックセットが実行され、AWS CloudTrailやAWS Configのログをログアーカイブ用のAWSアカウントへ送ったり、監査用のAWSアカウントでAmazon SNSの通知の設定が行われたりします。AWS CloudTrailやAWS Configが自動で有効になるので費用等は要チェックかもしれません。
セキュリティ関連
AWS Control Towerをセットアップした場合には一部有効化されますがセキュリティ関連の設定も必要に応じて行います。
- Enabling Security Hub CSPM - AWS Security Hub
- What Is AWS CloudTrail? - AWS CloudTrail
- What Is AWS Config? - AWS Config
- What is Amazon GuardDuty? - Amazon GuardDuty
コストモニタリング関連
いつの間にか多大な請求額になっている、といったことがないよう、料金に関するモニタリングや通知を設定して気づけるようにします。
- Create a billing alarm to monitor your estimated AWS charges - Amazon CloudWatch
- Analyzing your costs and usage with AWS Cost Explorer - AWS Cost Management
- Managing your costs with AWS Budgets - AWS Cost Management
他
Business 以上のプランであれば Trusted Advisor も利用できるようにしておきます。
