Miután létrehoztuk az első AWS fiókunkat már rögtön hozzáférünk az AWS valamennyi szolgáltatásához. Ahhoz azonban, hogy ezt a gyakorlatban is alkalmazni tudjuk, pár alapvető beállítást el kell végeznünk.
Régió kiválasztása
Az első feladat, mielőtt bármit létrehoznánk, annak a régiónak a kiválasztása ahol majd üzemelni fog az általunk megtervezett rendszer. Minden régió fizikailag teljesen el van szeparálva egymástól. Több szempont alapján dönthetünk, hogy melyik régiót érdemes választanunk. Lehet, hogy a hozzánk földrajzilag legközelebb eső helyszínt választjuk, de lényeges szempont lehet a jogi hatályosság is. (A GDPR esetén például európai ügyfeleink részére érdemes egy európai régiót választanunk.) Minden régióban különböző szolgáltatások állnak rendelkezésre. Az Amazon SES (Simple Email Service) például, amit a Cognito is használ jelenleg csak a következő régiókban képes Emaileket fogadni:
- US East (N. Virginia) us-east-1
- US West (Oregon) us-west-2
- Europe (Ireland) eu-west-1
A régiót az AWS Management Console-ban a jobb felső sarokban tudjuk kiválasztani. Ne felejtsük el, hogy az általunk létrehozott szolgáltatások és erőforrások csak az adott régión belül látják egymást. Alapértelmezetten a régiók nem átjárhatóak egymás között.
VPC létrehozása
Most, hogy kiválasztattuk a régiót, létrehozhatjuk az első VPC-nket. Minden fiókhoz automatikus létrejön egy VPC, de ezek régiónként konfigurációban különbözőek lehetnek (pl. hány alhálózatuk van). Azt javaslom, hogy mindig hozzunk létre egy VPC-t a saját igényeinknek megfelelően. Például, ha RDS-t szeretnénk használni, akkor két alhálózatra lesz szükségünk (lehetőleg privát alhálózatokra).
A VPC létrehozásának legegyszerűbb módja amikor a VPC Dashboard-on elindítjuk a VPC Wizard varázslót.
Fiókunk védelme
A felhőben általunk konfigurált szolgáltások biztonságáért mi vagyunk felelősek! A mi feladatunk, hogy fiókunkat biztonságban tartsuk. Az AWS fiók létrehozásakor egy rendszergazda (root) jogkörrel rendelkező fiók jön létre. Ezen a fiókon javasolt bekapcsolni a kétlépcsős, azaz a Multi-Factor authentication vagy MFA hitelesítést. Ezt a My Account menüpont alatt tudjuk megtenni.
Ezután hozzunk létre egy IAM-felhasználót az IAM Management Console-ban. Csak a legszükségesebb engedélyeket állítsuk be minden felhasználó számára. Ha saját felhasználót hozunk létre, ne felejtsük el, hogy az adminisztrátori (Administrator) szerepkörrel rendelkező felhasználók nem férhetnek hozzá a számlázáshoz. Amennyiben a számlázási adatatokhoz is hozzá szeretnénk férni az IAM felhasználói fiókból, akkor hozzá kell adnunk a Számlázási (Billing) jogosultságokat is.
Az IAM felhasználó(k) létrehozása után a továbbiakban csak akkor használjuk a root fiókot, amikor IAM felhasználókat, csoportokat és engedélyeket kezelünk.
Ez az! A fiókunk biztonságos és használatra kész! 👍