Amazon EC2 を使用するようにセットアップする - Amazon Elastic Compute Cloud
Sign up for AWSキーペアを作成するセキュリティグループの作成

Amazon EC2 を使用するようにセットアップする

Amazon EC2 インスタンスを初めて作成するための準備を整えるには、このセクションのタスクを完了します。

  1. Sign up for AWS

  2. キーペアを作成する

  3. セキュリティグループの作成

完了したら、Amazon EC2 の開始方法のチュートリアルに進むことができます。

Sign up for AWS

Amazon Web Service にサインアップすると、Amazon EC2 を含む AWS のすべてのサービスに、AWS アカウントが自動的にサインアップされます。料金が発生するのは、実際に使用したサービスの分のみです。

Amazon EC2 については、お客様が利用された分のみのお支払いとなります。AWS の新規のお客様の場合、無料で Amazon EC2 の使用を開始できます。詳細については、「AWS 無料利用枠」を参照してください。

既に AWS アカウントをお持ちの場合は、次のタスクに進んでください。AWS アカウントをお持ちでない場合は、以下の手順に従ってアカウントを作成してください。

AWS アカウントを作成する

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて検証コードを入力するように求められます。

    AWS アカウント にサインアップすると、AWS アカウント ルートユーザーが作成されます。ルートユーザーは、アカウントのすべて AWS のサービス とリソースへの完全なアクセス権を持ちます。セキュリティのベストプラクティスとして、管理ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

キーペアを作成する

AWS では公開キー暗号化を使用して、お客様のインスタンスのログイン情報の安全性を保護します。Linux インスタンスにはパスワードがありませんが、キーペアを使用することでインスタンスに安全にログインできます。インスタンスを起動するときにキーペアの名前を指定し、プライベートキーを指定して、SSH を使ってログインします。これにより、

キーペアをまだ作成していない場合は、Amazon EC2 コンソールを使用して作成できます。複数のリージョンでインスタンスを起動する予定がある場合は、各リージョンでキーペアを作成する必要があります。リージョンの詳細については、「リージョンとゾーン」を参照してください。

キーペアを作成するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[キーペア] を選択します。

  3. [キーペアの作成] を選択します。

  4. [Name (名前)] に、キーペアのわかりやすい名前を入力します。Amazon EC2 は、キー名として指定した名前にパブリックキーを関連付けます。キー名には、最大 255 文字の ASCII 文字を含めることができます。先頭または末尾にスペースを含めることはできません。

  5. [キーペアタイプ]を使用する場合には、[RSA]または[25519]を選択します。Windows インスタンスでは、ED25519 キーはサポートされていません。

  6. [Private key ファイル形式] に、プライベートキーを保存する形式を選択します。OpenSSH で使用できる形式でプライベートキーを保存するには、[pem] を選択します。プライベートキーを PuTTY で使用できる形式で保存するには、[ppk] を選択します。

  7. [キーペアの作成] を選択します。

  8. ブラウザによって秘密キーファイルが自動的にダウンロードされます。ベースファイル名は、キーペアの名前として指定した名前で、ファイル名拡張子は選択したファイル形式によって決まります。プライベートキーファイルを安全な場所に保存します。

    重要

    これは、プライベートキーを保存する唯一のチャンスです。

  9. macOS または Linux コンピュータの SSH クライアントを使用して Linux インスタンスに接続する場合は、次のコマンドを使用してプライベートキーファイルのアクセス許可を設定すると、お客様以外のユーザーはそれを読み取ることができないようになります。

    chmod 400 key-pair-name.pem

    これらのアクセス権限を設定しないと、このキーペアを使用してインスタンスに接続できません。詳細については、エラー: Unprotected Private Key File (保護されていないプライベートキーファイル) を参照してください。

詳細については、Amazon EC2 のキーペアと Linux インスタンス を参照してください。

セキュリティグループの作成

セキュリティグループは、関連付けられたインスタンスのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルでコントロールします。SSH を使用して、IP アドレスからインスタンスに接続できるようにするためのルールをセキュリティグループに追加します。さらに、任意の場所からのインバウンドおよびアウトバウンドの HTTP アクセスおよび HTTPS アクセスを可能にするルールを追加できます。

複数のリージョンでインスタンスを起動する予定がある場合は、各リージョンでセキュリティグループを作成する必要があります。リージョンの詳細については、「リージョンとゾーン」を参照してください。

前提条件

ローカルコンピューターのパブリック IPv4 アドレスが必要です。Amazon EC2 コンソールのセキュリティグループエディタは、パブリック IPv4 アドレスを自動的に検出できます。別の方法として、インターネットブラウザで検索文字列として「私の IP アドレスは何ですか?」を使用するか、次のサービス: Check IP を使用することもできます。インターネットサービスプロバイダー (ISP) 経由で、またはファイアウォールの内側から静的 IP アドレスなしで接続する場合は、クライアントコンピュータで使用されている IP アドレスの範囲を見つける必要があります。

カスタムのセキュリティグループは、次のいずれかの方法で作成できます。

New console

最小限の権限でセキュリティグループを作成するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. 上部のナビゲーションバーで、セキュリティグループのリージョンを選択します。セキュリティグループはリージョンに固有であるため、キーペアを作成したリージョンと同じリージョンを選択する必要があります。

  3. 左のナビゲーションペインで [セキュリティグループ] を選択します。

  4. [セキュリティグループの作成] を選択します。

  5. [基本的な詳細] で、次の操作を行います。

    1. 新しいセキュリティグループの名前と説明を入力します。覚えやすい名前 ( ユーザー名など) を使用し、その後に _SG_ を続け、さらにリージョン名を続けます。たとえば、me_SG_uswest2 などです。

    2. [VPC] リストで、リージョンのデフォルト VPC を選択します。

  6. [インバウンドルール] で、インスタンスに到達する特定のトラフィックを許可するルールを作成します。例えば、HTTP および HTTPS によるトラフィックを受け入れるウェブサーバーには、次のルールを使用します。その他の例については、「さまざまなユースケースのセキュリティグループのルール」を参照してください。

    1. [Add rule] を選択します。[タイプ] で [HTTP] を選択します。[ソース] で、[任意の場所] を選択します。

    2. [Add rule] を選択します。[Type] で、[HTTPS] を選択します。[ソース] で、[任意の場所] を選択します。

    3. [Add rule] を選択します。[タイプ] で [SSH] を選択します。[送信元] で、次のいずれかの操作を行います。

      • ローカルコンピュータのパブリック IPv4 アドレスを自動的に追加するには、[My IP] を選択します。

      • [Custom] を選択して、コンピュータまたはネットワークのパブリック IPv4 アドレスを CIDR 表記で指定します。CIDR 表記で個々の IP アドレスを指定するには、ルーティングサフィックス /32 を追加します (203.0.113.25/32 など)。会社もしくはルーターにより、特定の範囲からアドレスを割り当てられている場合、その範囲全体 (203.0.113.0/24など) を指定します。

      警告

      セキュリティ上の理由から、[SSHRDP] のルールを使用する場合は、[送信元] で [] を選択しないでください。これを設定すると、インターネット上のすべての IP アドレスから、ご使用のインスタンスへのアクセスが可能になります。この状態は、テスト環境での短時間の使用であれば許容できますが、実稼働環境においては安全ではありません。

  7. [アウトバウンドルール] では、デフォルトのルールをそのまま使用し、すべてのアウトバウンドトラフィックを許可します。

  8. [セキュリティグループの作成] を選択します。

Old console

最小限の権限でセキュリティグループを作成するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. 左のナビゲーションペインで [セキュリティグループ] を選択します。

  3. [Create Security Group] を選択します。

  4. 新しいセキュリティグループの名前と説明を入力します。覚えやすい名前 ( ユーザー名など) を使用し、その後に _SG_ を続け、さらにリージョン名を続けます。たとえば、me_SG_uswest2 などです。

  5. [VPC] リストで、リージョンのデフォルト VPC を選択します。

  6. [インバウンドルール] タブで、以下のルールを作成します (新しいルールごとに [ルールの追加] を選択します)。

    • [Type] リストから [HTTP] を選択し、[Source] が [Anywhere] (0.0.0.0/0) に設定されていることを確認します。

    • [Type] リストから [HTTPS] を選択し、[Source] が [Anywhere] (0.0.0.0/0) に設定されていることを確認します。

    • [Type] リストから [SSH] を選択します。[Source] ボックスで [My IP] を選択すると、ローカルコンピューターのパブリック IPv4 アドレスが自動的にフィールドに入力されます。別の方法として、[Custom] を選択してコンピュータまたはネットワークのパブリック IPv4 アドレスを CIDR 表記で指定することもできます。CIDR 表記で個々の IP アドレスを指定するには、ルーティングサフィックス /32 を追加します (203.0.113.25/32 など)。会社が特定の範囲からアドレスを割り当てている場合、範囲全体 (203.0.113.0/24など) を指定します。

      警告

      セキュリティ上の理由から、すべての IP アドレスからの SSH によるインスタンスへのアクセスは許可しないでください。この状態は、テスト環境での短時間の使用であれば許容できますが、実稼働環境においては安全ではありません。

  7. [アウトバウンドルール] タブでは、デフォルトのルールをそのまま使用し、すべてのアウトバウンドトラフィックを許可します。

  8. [セキュリティグループの作成] を選択します。

Command line

最小限の権限でセキュリティグループを作成するには

以下のいずれかのコマンドを使用します。

詳細については、Linux インスタンス用の Amazon EC2 Amazon セキュリティグループ を参照してください。