ဒီနေ့ ပြောပြချင်တဲ့ အကြောင်းအရာလေးကတော့ ကျွန်တော် တို့ AWS Cloud service ကိုလေ့လာမယ်ဆိုပီး အရင်ဆုံး AWS account စဖွင့် တက်ကြပါတယ်။ အဲ့လို ဖွင့်ပီးတဲ့ အခါမှာ ဘယ် အချက်လေး တွေကို ကြိုပီး လုပ်ထားရမလဲ ဆိုတာကို ပြောပြခြင်ပါတယ်။ အခုမှ စပီး AWS ကို သုံးမဲ့ newbibes တွေ အတွက် ရည်ညွှန်းပီး ရေးလိုက်တာပါ။ ကျွန်တော့ ဘက်က လိုအပ်ချက် မျိုး အယူအဆ အမှား မျိုး ပါလာခဲ့ရင် ထုံးစံအတိုင်း ထောက်ပြပေးကျဖို့ တောင်းဆိုပါတယ်။ ဒါဆိုရင် စလိုက်ကျ ရအောင် ပါ။
Turn on MFA in root account
ဟုတ်ပါတယ် ကျွန်တော်တို့ အရင်ဆုံးလုပ်သင့်တဲ့ အရာကတော့ root account မှာ password ခံပီး သုံးတဲ့ အပြင် Multi Factor Authentication ( MFA ) ကို on ကို on ထားရပါမယ်။ အရေးကြီးပါတယ် ဘာလို့လဲဆိုရင် ဆိုပါစို့ဗျာ ကိုက မေ့တက်တဲ့ လူဖြစ်လို့ ကို့ AWS account ရဲ့ root account ကြီး တစ်ခုလုံးရဲ့ password ကို sticky note လေးနဲ့ မှတ်ထားပီး အမှု မဲ့ အမှတ်မဲ့ နေပီး ကို့ စားပွဲမှာ ကပ်ခဲ့တယ် ဆိုပါစို့ ၊ အဲ့ မှာ မသာမာသူ တစ်ယောက်ယောက်ရဲ့ လက်ထဲ password က ရောက်သွားခဲ့ရင် ကိုတောင် မသိလိုက်ပဲ ကို account ထဲဝင်ပီး resources တွေ create, delete လုပ်သွားမယ်ဆို ရင်တော့ တော်တော် လေးကြည့် ကောင်းသွားပါလိမ့်မယ်။ အဲ့နေရာမှာ MFA on ထားခဲ့မယ်ဆိုရင် password ကိုသိနေပီး မှန်နေရင်တောင်မှ MFA code ၆ လုံးကို သူမသိရင် ရှေ့ဆက်လို့ မရတော့ပါဘူး။ အဲ့တာကြောင့် MFA က မဖြစ်မနေ root account မှ မဟုတ်ဘူး ကျန်တဲ့ IAM account တွေမှာပါ on ပေးရပါမယ်။အဲ့တာဆို MFA ဘယ်လို on ကျမလဲ။ လွယ်ကူပါတယ် ဒီအချက်တွေ အတိုင်း လိုက်လုပ် ကြည့်ပါ။
IAM setting ထဲကိုသွားပါ၊ MFA မ on ရသေးရင် အဲ့လို ပုံစံ မျိုးပြနေပါလိမ့်မယ်။ Add MFA ဆိုတာကို နှိပ်လိုက်ပါ။
Device name ကို ကိုကြိုက်တဲ့ နာမည်ပေးလို့ရပါတယ်။
Show QR Code ကို နှိပ်ပီး ကို့ရဲ့ ဖုန်းထဲက Authenticator app တစ်ခုခု နဲ့ scan ဖတ်ပီး ရလာ တဲ့ Code တွေကို ထည့်ပေးလိုက်ပါ။ ကျွန်တော် ကတော့ Microsoft authenticator app ကိုသုံးပီး လုပ်ထားပါတယ်။
အခုဆိုရင် MFA on ပီးသွားပါပီ။ နောက်တစ်ကြိမ် login ဝင်ကြည့်တဲ့အခါမှာ အရင်လို password အပြင် mfa code ပါတောင်းတာကို တွေ့ရပါလိမ့်မယ်။ IAM user မှာလည်း လုပ်တဲ့နည်းက အတူတူပဲမလို့ မလုပ်ပြတော့ပါဘူး။
Using create another IAM account with specific permissions
ကျွန်တော်တို့ account မှာ စစချင်း ရှိနေတဲ့ account ကတော့ root account ပဲဖြစ်ပါတယ်၊ root account ဖြစ်တဲ့ အတွက် ကြိုက်သလိုအသုံးပြုလို့ရပါတယ်။ တကဲ့ တကယ်တန်း လက်တွေ့ လုပ်ငန်းခွင်မှာ ဆိုရင် ဘယ်သူမှ root account နဲ့မသုံးကျပါဘူး အရမ်း danger ဖြစ်လို့ပါ။ root access နဲ့ ဆိုရင် resources တွေကို ကြိုက်သလို create, delete လုပ်နိုင်ပါတယ်။ တကဲ့လုပ်ငန်းခွင်မှာ ဆိုရင် IAM user တစ်ခုဆောက်ပေးပီး လိုအပ်တဲ့ လုပ်ငန်းလိုအပ်ချက်ပေါ် မူတည်ပီး permission တွေသတ်မှတ်ပေးပီးမှ သက်ဆိုင်ရာ developers , Cloud Engineer တွေကို account ပေးလိုက်ပါတယ်။ အဲ့လိုလုပ်ပေးလိုက် တဲ့ အတွက် developer တစ်ယောက်အနေနဲ့ ဆိုရင် မလိုလားအပ်တဲ့ permission အပိုတွေ မရပဲ သူလိုချင်တဲ့ permission နဲ့ပဲ လုပ်စရာ ရှိတဲ့ task တွေကိုလုပ်လို့ရသွားပါလိမ့်မယ်။ ဒီလို လိုအပ်တဲ့ permission ကိုပေးလိုက်တဲ့ အတွက် မလိုအပ်ပဲ resources တွေမှားဖျက်မိတာမျိုး ပြင်မိသွားတာမျိုး တွေကနေကလည်း ကာကွယ်ထားပီးသားဖြစ်ပါလိမ့်မယ်။ စာပဲစမ်းစမ်း အလုပ်ထဲပဲလုပ်လုပ် ဒီလိုမျိုးလေး လုပ်ထားဖို့ အကြံပေးချင်ပါတယ်။
Define account alias
ဟုတ်ပါတယ်။ ကျွန်တော်တို့ account တစ်ခုစဆောက်ဆောက်ပီးချင်မှာဆိုရင် account alias အနေနဲ့ မရှိပါဘူး။ ကိုတိုင်သွားပြင်ပေးမှရပါတယ်၊ ဘာကြောင့် alias name ပေးသင့် သလဲဆိုရင် ကျွန်တော်တို့ IAM user နဲ့ သုံးတဲ့အခါ login ဝင်တဲ့နေရာမှာ Account ID number တွေကို ရိုက်ထည့်ပေးနေရပါတယ်။ အဲ့နေရာမှာ alias name နဲ့သာဆိုရင် number အရှည်ကြီးကို အလွတ်ကျက်ပီး ထည့် နေစရာ မလိုတော့ပါဘူး။ alias ကိုသတ်မှတ်ပေးစေချင်တဲ့ နောက်တစ်ချက်ကတော့ ကိုသုံးမဲ့ AWS account က ဘာကြောင့်သုံးထားတယ်၊ ဘယ်နေရာမှာသုံးထားလဲဆိုတာ ချက်ချင်း သိနိုင်ပါတယ်။ ဆိုလိုတာက alias ကို devops-cloud-learn ဆိုပီး ပေးခဲ့မယ်ဆိုရင် number အရှည်ကြီးလည်းရိုက်စရာ မလိုတော့သလို ဒီ account က ဘာအတွက်သုံးထားလဲဆိုတာ သိနိုင်ပါတယ်။ Real world မှာ ဆိုရင်လည်း သုံးတဲ့ zone ပေါ် မူတည်ပီးပေးတက်ကျပါတယ်။ Example ( uat-originization_name ) အဲ့လို လေးလုပ်တက်ကျပါတယ်။ ဘယ်လို create လုပ်မလဲဆိုတာ ဆက်ကြည့်ကြည့်ပါ။
ဒီဟာက Account alias မပေးရခင်က login ဝင်ရတဲ့ ပုံစံပါ။
Create နှိပ်လိုက်ပါ။
ဒါကတော့ account alias နဲ့ဝင်ပီးသွားရင် အဲ့လိုလေး ပြနေပါလိမ့်မယ်။
Allow IAM user access for billing
ကျွန်တော်တို့ IAM user နဲ့သုံးတဲ့အခါမှာ Billing info တွေကိုကြည့်တဲ့အခါ ဒီအတိုင်းကြည့်လို့မရပါဘူး။ IAM မှာလည်း billing access ပေးထားယုံနဲ့လည်းမရပါဘူး။ ဘာလုပ်ပေးရမလဲဆိုရင် root account နဲ့ဝင်ပီး Billing and Cost Management ထဲမှာသွားပီး IAM user တွေကပါ Billing နဲ့ပတ်သတ်တဲ့ အရာတွေကို ကြည့်လို့ရအောင်သွားလုပ်ရပါတယ်။ ဒီအတိုင်း လုပ်ပေးလိုက်ယုံပါပဲ။
Create Billing preferences
နောက်တစ်ချက်ကလစဥ်ပို့တဲ့ billing invoice ကို PDF invoice နဲ့ ပို့ဖို့ လုပ်ရပါမယ်။
Free tier usage ဘယ်လောက်သုံးပီးပီလဲဆိုတာ သိရအောင်လည်း alert on ရပါမယ်။ သူက default ဆိုရင် AWS root account ရဲ့ mail ကို ပို့ပေးတာပါ။
Create monthly budget alert
ကျွန်တော်တို့ free tier 1 year ရလို့ သုံးတယ် စမ်းတယ်ဆိုပေမဲ့လည်း တစ်ချို့သော service တွေ resources တွေက အလကားမရပါဘူး။ ကိုက အဲ့လို အလကားမရတဲ့ service တွေကို အလုပ်တွက်လိုလို့ စမ်းတာပဲဖြစ်ဖြစ်၊ သိချင်လို့ စမ်းတာပဲဖြစ်ဖြစ် စမ်းပီးပြန်ဖျက်ဖို့ မေ့သွားတယ်ဆိုရင် ကိုသုံးတဲ့ resource ပေါ်မူတည်ပီး Bill ကတော်တော် လေး ကြိတ်ပါလိမ့်မယ်။ အဲ့လိုမဖြစ်ရအောင် budget alert သတ်မှတ်ထားလို့ရပါတယ်။ တကဲ့ ကို အသုံးဝင်တဲ့ နည်းတစ်ခုပါ။ Cost saving လုပ်နေတဲ့ ကာလမျိုး မှာဆိုရင်လည်း budget amount ကိုကျော်ပီး သုံးသွားလား၊ မသွားဘူးလား ကြည့်ပီး cost monitoring လုပ်လို့ရပါတယ်။ Budget alert ကို အောက်ကနည်း အတိုင်းသတ်မှတ်လို့ရပါတယ်။
ကျွန်တော်တို့ budget alert သတ်မှတ်ပီးသွားပါပီ။
ဒီအချက်တွေကို မဖြစ်မနေ လိုက်လုပ်ရမယ်လို့ မဆိုလိုပါဘူး။ ဒါပေမဲ့ ဒီ steps လေးတွေကို စစချင်း implement လုပ်ခဲ့မယ်ဆိုရင် account security ကော တစ်ခြား billing နဲ့ပတ်သတ်တဲ့ Info တွေပါ အဆင်ပြေ သွားမယ်လို့ ယုံကြည်ပါတယ်။ ဒီနေ့ sharing လေးကို ဒီနေရာမှာပဲ ရပ်ထားလိုက်ပါမယ်ခင်ဗျာ။