どうも、セクションナインの 吉田真吾(@yoshidashingo)です。
個人で使ってるAWSアカウントについて、それぞれにログインして管理するのがしんどいので、今は図のようにして集約管理してます。
今後ちょっと変えることはあるかもしれないけど、基本的にはこんな感じでいいかなと思ってますので、以下ちょっとだけ説明。
ユーザーと料金支払いについて
AWSアカウント共通 (Prod, Stg, Dev, Sandbox, Handson)
- Rootユーザー
- MFA設定して Security Credential は発行しない(あれば全部削除)
Prod (=本番AWSアカウント)
本番アカウントにだけひとつ IAMユーザー をつくってある
- これはすべてのアカウントをまたぐスイッチ元ユーザーです。
SMS MFAを設定してあります。ログインしようとするとSMSが飛んできます。
- 今日時点だと
Reject
という発信者名から来るのでなんか気持ち悪い。気にしないけど。
- 今日時点だと
普段は「Readonly」グループに所属させてあります。
- Readonly グループには Managed Policy で
ReadOnlyAccess
と、Inline Policy でビリング関連の読取り権限
のみつけてあります。
- Readonly グループには Managed Policy で
- チラ裏だけど、IAMで上記権限が設定されていても、RootアカウントからIAMユーザーに対してビリングを見るためにもう一弾設定が必要なことに注意しましょう。
- Rootユーザーで ビリングページ にアクセスして、
Edit
して有効化しておく必要があります。
- Rootユーザーで ビリングページ にアクセスして、
- このユーザーをDevアカウントあたりに移したほうがいいかなーって悩んでます。
料金支払い
- 他のアカウントの利用料金はすべて本番アカウントにコンソリ(集約)してあります。
それ以外のアカウント(Stg, Dev, Sandbox, Handson)
- IAM RoleとPermission設定のみ
- IAM Userはいない
まとめ
- 個人利用の範囲であればこんな感じで十分かなと思ってます。