サマリー

この記事は aws 初回登録（サインアップ）後のtodo（その1） の続きです。

1. 請求関連の設定
   • コストと使用状況レポートの作成
   • 請求アラームの作成（請求額が〇〇以上になったらアラート）
2. MFAからU2Fに切替
   • Yubicoキーについて
   • Google認証システムからYubicoセキュリティキーに切替

1. 請求関連の設定

コストと使用状況レポートの作成

コストと使用状況レポート の作成 - コストと使用状況レポート に従い コストと使用状況レポート を作成します。
途中、レポート保存用のS3バケットを作成する必要があります。
バケット名の命名規則は、弊社で使っているAWSリソースの命名規則を紹介します | Developers.IO が参考になります。
例えば今回のバケット名は bill-prod-log-[アカウントID] です。

請求アラームの作成（請求額が〇〇以上になったらアラート）

AWS の予想請求額をモニタリングする請求アラームの作成 - Amazon CloudWatch に従い 請求アラーム（請求額が〇〇以上になったらアラート） を作成します。
途中、SNSトピックを作成する必要があります。
ここでは billing-prod-report-sns としてみました。
SNSの認証メールが配信されるのでメール内の Confirm subscription リンクを押して認証します。

2. MFAからU2Fに切替

Yubico セキュリティキー NFC USB-A 2つのファクター認証セキュリティキー を購入したのでGoogle認証システムを利用したMFA（2段階認証）から、 U2F セキュリティキー の認証方式に切り替えます。

Yubicoキーについて

Yubicoキーはいくつか種類があり、どれを購入したらよいか迷います。
NFC機能があればスマフォからのU2Fもできます。
また青いキーのSecurity Keyと、黒いキーのYubiKey 5がありますが、黒いキーの方がU2F以外にも機能があって値段も少し高くなります。

以下で違いが把握できます。
YubiKey の種類【YubiKeyとは-part1】 | YubiOn

Google認証システムからYubicoセキュリティキーに切替

既存のMFAを削除し、 U2F セキュリティキーの有効化 (コンソール) - AWS Identity and Access Management 「別IAM ユーザーの U2F セキュリティキーを有効にする (コンソール)」を実施します。

上記U2F有効化の記事中に「必要なアクセス許可」のポリシーがありますが、強制MFAをしたいときのカスタムポリシーと思われるので、必要なければ実施する必要はありません。

また、 aws 初回登録（サインアップ）後のtodo（その1） で既に強制MFA設定をしていますが、U2Fでも有効なので今回は特にポリシー変更の必要はありません。