AWS - Parte I - Preparazione account

Introduzione

In questo post andremo a fare le prime azioni necessarie per partire su AWS.

Per prima cosa creeremo l’account principale, chiamato root, che verra’ usato solo ora in fase di setup e in casi particolari.

Tramite Organizations andremo a creare la nostra organizzazione e i vari account per ambiente/scopo: Administration, Development e in futuro Production.

Con IAM Identity Center, dove IAM sta per Identity and Access Management, ovvero il meccanismo che permette a determinate entita’ le dovute azioni, andremo a creare la prima utenza, la nostra.

Ad esso andremo ad assegnargli dei permessi chiamati AdministratorAccess (in sostanza poteri pieni) sugli account che andremo a creare.

Gli account, divisi per scopo, vivranno in una Organization che ci permette di avere piu’ account separati sotto una unica gestione e bolletta.

Creazione account principale

Per prima cosa bisogna creare un account AWS andando qui

Va impostata una password lunga e complessa, preferibilmente autogenerata da un manager di credenziali o altro.

Assicuriamoci in alto a destra di aver selezionato la regione corretta prima di procedere, nel mio caso Frankfurt (eu-central-1):

IAM

Appena entrati andiamo su IAM per finire il setup:

IAM

Seguiamo la raccomandazione e impostiamo subito un MFA:

IAM

Non e’ obbligatorio, ma perso l’account principale si puo’ considerare l’intero ambiente compromesso e si potrebbero avere spese indesiderate.

Creazione organization

Andiamo ora su AWS Organizations:

IAM

Clicchiamo su Create an organization:

IAM

A questo punto andiamo a creare due account, uno per delegare l’amministrazione dell’ IAM Identity Center che vedremo dopo chiamato Administration e uno per l’ambiente di sviluppo, che ho chiamato Development.

Come email potete utilizzare il trucco dell’alias aggiungendo +admin e +dev alla vostra email, prima del dominio, ad esempio: [email protected].

IAM

Creato l’account ci rimane da abilitare la pagina di login e da aggiungere la prima utenza che useremo per fare i primi deploy.

Creazione utenze

Andiamo su IAM Identity Center:

IAM

E clicchiamo su Enable:

IAM

Fatto cio’ assegnamo un dominio al portale d’accesso a piacere:

IAM

Bene! Prima di proseguire creiamo un gruppo Admin per noi andando su Groups da barra laterale e su Create group:

IAM

A questo punto creiamo un permission set andando su Permission sets da barra laterale, usando il Predefined permission set chiamato AdministratorAccess:

IAM

Creiamo quindi il nostro primo utente andando su Users da barra laterale e poi su Add user.

Mettiamo come username ad esempio RobertTimis, come email [email protected] e inseriamolo nel gruppo Admin appena creato:

IAM

Ora andiamo su AWS accounts da barra laterale, clicchiamo sulla spunta accanto all’account Administration e Development, poi clicchiamo su Assign users or groups e assegnamo il gruppo Admin e il permission set appena creato.

Prima di uscire deleghiamo l’accesso ad IAM Identity Center all’account di amministrazione, per evitare di utilizzare l’account root in futuro.

Andiamo su Settings da barra laterale e sulla scheda Management. Clicchiamo su Register account e scegliamo Administration:

IAM

Conclusione

Finalmente possiamo fare logout e accedere dal portale dedicato, nel mio caso https://roberttimistest.awsapps.com/start#/, dopo aver creato la password iniziale tramite una email che nel frattempo vi sara’ arrivata.

Per accedere usate lo username, non l’email, nel mio caso RobertTimis.

Finiremo su questa pagina, dalla quale possiamo accedere ai nostri due account:

IAM

Una volta attivato l’ IAM Identity Center si puo’ anche configurare l’SSO con un altro identity provider, ad esempio Google se si ha il workspace.

Nel prossimo post vedremo come impostare l’ambiente di sviluppo in un ipotetico progetto.