AWS LightsailのWordPressのApacheでIPアドレスによるアクセス制限

 本記事は、AWS LightsailのWordPressにて、IPアドレスによるアクセス制限をApache HTTP Serverの設定ファイル『httpd.conf』で行う手順のメモになります。

 IPアドレス制限は、アクセス元のIPアドレスによってアクセスを許可/拒否することをいいます。全てのアクセス元からの通信を拒否してから指定したIPアドレスからのみ接続を許可するパターン(ホワイトリスト方式)と、原則全てのアクセス元からの通信を許可しつつ、指定したIPアドレスからの接続は拒否するパターン(ブラックリスト方式)に分けられます。今回は後者のパターンで行います。

 今回はIP制限をApache HTTP Serverで実現します。Apache HTTP Server(以下、Apacheと表記)はWebサーバソフトウェアで、クライアントからの要求をアプリケーションに渡し、アプリケーションからの応答をクライアントに返す役割を担います。このWebサーバにて設定ファイルを編集し、IPアドレス制限を実現します。


こちらのサイト様によるとLightsailのWordPressに含まれるApacheは2023年7月現在でバージョン2.4となり、Requireディレクティブを使うのが良いようですが、本サイトでは2.2の方式(Allow,Denyディレクティブ)で行っています。

※ 本記事ではApache HTTP ServerをApacheと表記していますが、ApacheはHTTP Server以外にも様々なソフトウェアが存在するのでご注意ください。


◆ LightsailのWordPressのApacheでIPアドレス制限 (2023年7月時点)

1.
AWS Lightsail管理コンソールにアクセスし、対象インスタンスのコンソールアイコンをクリックします。

2.
以下のようにコピーコマンド “cp” を管理者で実行 “sudo” して、Apacheの設定ファイル『httpd.conf』のコピーを取得してバックアップとします(バックアップファイル名は任意で構いません)。
 sudo cp -ip /opt/bitnami/apache/conf/httpd.conf /opt/bitnami/apache/conf/httpd.conf_[日付].bak
 (sudo cp [オプション] [コピー元] [コピー先])
 ※ 以下、オプションの説明
  -i : コピー先が既に存在する場合、上書きするかどうかを確認する。
  -p : コピー元のパーミッション、所有者、タイムスタンプを保持する。

3.
以下の “vi” コマンドを管理者で実行 “sudo” して、Apacheの設定ファイル『httpd.conf』を標準テキストエディタで開きます。
 sudo vi /opt/bitnami/apache/conf/httpd.conf
 (sudo vi [開きたいファイル])

4.
『httpd.conf』が開くので、末尾まで移動します。

5.
末尾まで移動したら、キーボードの[i]キーを押してInsertモードに入ります。

6.
以下の内容を挿入します。
今回はWordPressに対してIPアクセス制限をかけるので、対象ディレクトリは ”/opt/bitnami/wordpress” となります。
基本的にはどのIPアドレスからもアクセスを受け付けつつ、一部IPアドレスからのアクセスは拒否するような流れの記載となります。

7.
記載が完了したらキーボードの[esc]キーを押してInsertモードを終了し、 ”:wq” と入力することで編集した内容を保存してテキストエディタを終了します。

8.
apachectl configtest” コマンドを管理者で実行 “sudo” して、Apacheの設定ファイル『httpd.conf』の構文に問題がないかのチェックを行います。
”Syntax OK” と出れば構文エラーはありません。
 sudo apachectl configtest

9.
apachectl graceful” コマンドを管理者で実行 “sudo” して、Apacheの設定ファイルを再読み込みすることで、設定ファイルにきさいされたIPアクセス制限を有効化します。
gracefulはそれまでにApacheに来たリクエストを処理してから再読み込みをするので、Webサイトへのアクセスへの影響をなくすことができます。
本コマンド実行後にもWordPressへのアクセスが正常にできれば問題ございません、お疲れさまでした。
 sudo apachectl graceful


◆ 参考文献

Apacheでip制限をする方法|httpd.confとhtaccessでのやり方を解説する (code-bug.net)
【 cp 】コマンド――ファイルをコピーする:Linux基本コマンドTips(17) – @IT (itmedia.co.jp)
viコマンドについて詳しくまとめました 【Linuxコマンド集】 (eng-entrance.com)
Apacheのrestartやgraceful、stopなどの違い | ⬢ Appirits spirits

AWS Lightsailのインスタンス手動バックアップ

 本記事は、AWS Lightsail管理コンソール上からLightsailインスタンスのバックアップを手動で取得する手順のメモとなります。

 Lightsailインスタンスは作成時に指定した時刻にて自動でバックアップが取得され、7日間保存されます。不測の事態に対するバックアップとしてはこの自動バックアップでも十分かもしれませんが、インスタンス上のアプリケーションの設定を変更する場合など、作業前に手動でバックアップしたい場合はこちらの手順を参考にしていただければと思います(私も本ブログのベースとなっているWordPressのバージョンアップを行う際に、本手順でバックアップを取得しています)。

 なおバックアップからのリストアに関し、既存インスタンスをバックアップで上書きするようなことはできず、新規インスタンスを作成する、別リージョンにコピーする、Amazon EC2(IaaSの仮想マシンサービス)にエクスポートする、の中からリストア方法を選択することとなります。このリストア手順については記事にしておりませんのでご了承ください。


◆ Lightsailインスタンス手動バックアップ手順 (2023年8月時点)

1.
AWS Lightsail管理コンソールにアクセスし、対象のインスタンス名をクリックします。

2.
「スナップショット」タブを選択し、手動スナップショットの下にある「+ スナップショットの作成」をクリックします。

3.
スナップショット名はデフォルトで「インスタンス名+ランダム数字」となっているかと思います。任意のスナップショット名に編集して、「作成」をクリックします。

4.
『スナップショット作成中』となるのでしばらく待ちます。

5.
スナップショットが作成されると、スナップショット取得時刻が表示されます。スナップショットに対して可能なアクションを「…」をクリックして確認してみます。

6.
スナップショットに対するアクションとしては本記事冒頭で記載したように「新規インスタンスの作成」「別リージョンへのコピー」「Amazon EC2(IaaSの仮想マシンサービス)にエクスポート」が選択できます。またスナップショットが不要になった際は削除もこちらで行えます。

恐らくリストア時は ①バックアップから新規にインスタンスを作成、 ② Lightsail用CDNのオリジナル元を①で作成した新規インスタンスに変更(※)、 ③ 動作確認後、古いインスタンスを削除 といった流れになるかと思います)。

※) Lightsail用CDNを利用している場合。利用していない場合に②は 静的IPアドレスの付け替えとDNSの書き換えになるかと思います。

以上が手動バックアップの手順となります、お疲れさまでした。

Amazon WorkMailの設定

 本記事では、AWS WorkMailという企業向けのEメール・カレンダーのマネージドサービスを利用し、AWS Route53で新規に取得したドメインでメール送受信を行うまでの設定を解説します。
 企業向けのサービスですが個人でも利用可能で、1ユーザ当たり50GBのメールボックスが付いて月額4USDとのことで使いやすいと思います。ユーザはAWS管理コンソールから作成することもできますが、Active DirectoryやAWS Simple ADと連携してユーザを取り込むこともできるようです。
 注意点としては利用できるリージョンに制限があります。利用可能なリージョンは2023年3月現在で「北バージニア」「オレゴン」「アイルランド」の3つとなります。

 また、AWS Lightsailで利用しているドメインではAWS WorkMail設定ができなかったので、今回の記事ではまた新たにAWS Route53でドメイン取得しています。AWS Route53でのドメイン取得はこちらの記事を参考にしていただければと思います。


◆ Amazon WorkMail設定手順 (2023年3月時点)

1.
AWSマネジメントコンソールにアクセスします。リージョンをAmazon WorkMailを利用可能なリージョン(2023年3月現在で「北バージニア」「オレゴン」「アイルランド」のいずれか)を選択してから、Amazon WorkMailサービスを検索してクリックします。

2.
「Create organization」をクリックします。

3.
今回は新規にドメインを取得して設定を行うので、「New Route 53 domain」を選択します。選択をすると画面下部にメッセージが表示されるので、メッセージ中の「Amazon Route 53 console」リンクをクリックします。

4.
Route53のダッシュボードで新規にドメインを取得します。ドメイン取得に関する操作はこちらの記事をご参照ください。今回は .netドメイン を取得しています。

5.
Route53でドメインを取得しました。

6.
本記事手順No.3の画面まで戻ります。こちらの画面で「Existing Route 53 domain」を選択し、『Route 53 hosted zone』にて今回取得したドメインをプルダウンで選択します。

7.
画面を下にスクロールし、『Alias』欄に任意の名前を入力します。追加設定の確認のため、『Advanced settings』をクリックしてみます。

8.
 User directoryについて、ユーザーをWorkMailで管理するか、既存のActive Directoryと連携するかを選択できるようです。ここでは「Create Amazon WorkMail directory」を選択します。
 また暗号化キーについて、Amazonのマネージドキーを利用するか、ユーザーで用意したキーを利用するかを選択できるようです。ここでは「Use Amazon WorkMail managed key」を選択します。
 その後「Create organization」をクリックします。

9.
作成したOrganizationのエイリアス名をクリックします。

10.
画面上部に表示されたメッセージ中の「Manage domains」ボタンをクリックします。

11.
今回取得したドメイン名のリンクをクリックします。

12.
『Improved security』欄にて2つのTXTレコードのStatusが「Missing」となっています。画面上部の「Update all in Route 53」をクリックします。

13.
画面上部に緑色のメッセージが表示されたら更新ボタンをクリックします。その後、『Improved security』欄にて2つのTXTレコードのStatusが「Missing」から「Verified」に更新されていることを確認します。
画面を下にスクロールし、『Improved email delivery』欄のメッセージ中の「Amazon SES」リンクをクリックします。

14.
Amazon SESの画面に遷移するので、画面を下にスクロールします。

15.
『カスタム MAIL FROM ドメイン』欄の「編集」ボタンをクリックします。

16.
「カスタム MAIL FROM ドメインの使用」にチェックを入れ、『MAIL FROM ドメイン』に任意の値を入力します。ここでは”kageroulab.net”に対して”mail.kageroulab.net”というサブドメインを指定しています。また『MX障害時の動作』を選択します。ここでは「デフォルトの MAIL FROM ドメインの使用」を選択しました。設定後、「変更の保存」ボタンをクリックします。

17.
画面上部に「正常に編集されました」という内容のメッセージが表示されることを確認し、画面を下にスクロールします。

18.
『DNSレコードの発行』欄にMXレコードとTXTレコードが表示されています。これをRoute53に追加するため、レコード内容をCSVファイルとして保存します。「.csvレコードセットのダウンロード」リンクをクリックします。

19.
Route53の管理画面に移動します。左メニューで『ホストゾーン』を選択し、ホストゾーン名で今回送信元とするドメイン名をクリックします。

20.
「レコードを作成」ボタンをクリックします。

21.
本手順No.18で確認したレコードを追加していきます。まずは”mail.kageroulab.net”に対するMXレコードを追加します。TTLやルーティングポリシーはデフォルト地としています。編集したら「別のレコードを追加」ボタンをクリックします。

22.
続いて本手順No.18で確認した”mail.kageroulab.net”のTXTレコードを追加します。こちらもTTLとルーティングポリシーはデフォルトです。必要な値を入力したら「レコードを作成」ボタンをクリックします。

23.
レコードが正常に作成された旨のメッセージが表示されることを確認します。

24.
Amazon SESの管理画面に遷移します。左メニューで『検証済みID』を選択し、今回送信元ドメインとして取得した独自ドメイン名のリンクをクリックします。

25.
画面を下にスクロールし、MAIL FROM 設定が「成功」であることを確認します。

26.
Amazon WorkMailの管理画面に移動します。No.13の画面では『Improved email delivery』の文字が赤色でしたが、緑色に変わっていることを確認します。

27.
左メニューで『Users』をクリックし、「Create user」ボタンをクリックします。

28.
『User name』『Display name』を入力します。対象ユーザーが利用するメールアドレスを『Email address』欄に設定します。『Password』を入力し、「Create user」ボタンをクリックします。

29.
ユーザーの作成が成功した旨のメッセージが表示されることを確認します。

30.
『Organization』メニューに移動し、画面下部の『User login』のAmazon WorkMail web applicationのURLをクリックします。

31.
ユーザー名(メールアドレスではありません)とパスワードを入力して「サインイン」をクリックします。

32.
受信メールは『Inbox』に入ってきます。他のメールアドレスから今回設定したメールアドレスに対してメールを送信してみましょう。

33.
メール送信は『New item』>『New email』をクリックします。

34.
送信先メールアドレス、Subject、本文を入力し、「Send」をクリックして正常に送信されれば成功です。お疲れさまでした。

AWS LightsailでWordPress起動 (4:WordPressでSSL対応の設定)

 本手順では、AWS Lightsailで動作しているWordPressにて、SSLに対応するための設定を行う手順です。SSL証明書の設定は、Lightsail用CDNと合わせてこちらの記事で設定していますが、WordPress側でSSL通信に対応しないと、たとえばWordPressの管理者ログイン画面が以下のような画面となってしまいます。

SSL通信においても画面を正常に表示させるために、WordPressの設定ファイルにてSSL通信に対応する設定を行います。こちらのサイト様の手順に則っています。


◆ LightsailのWordPressでSSL対応設定 (2023年2月時点)

1.
AWS Lightsail管理コンソールにアクセスします。Lightsailインスタンスのターミナルアイコンをクリックします。

2.
ターミナルが開きます。以下のコマンドを実行し、カレントディレクトリをWordPressの設定ファイルがあるディレクトリに移動します。

cd /bitnami/wordpress/

3.
続いて以下のコマンドを実行し、所有グループへWordPressの設定ファイル (wp-config.php) に対する書き込み権限を与えます。

chmod g+w wp-config.php

4.
No.3の手順で書き込み権限が与えられたことを確認するには、以下コマンドを実行します。

ls -l wp-config.php

実行結果の最初にて、「-rw-rw—-」となっていればよいです。最初の「-」はファイルを表し、2~4文字目がファイル所有者、5~7文字目がファイル所有グループ、8~10文字目がその他グループが持つ権限を表します。「r」が読み取り、「w」が書き込み、ここにはありませんが「x」が実行を表します。そのためこの場合は、ファイル所有者とファイル所有グループに読み取りと書き込みの権限があることになります。

5.
それでは設定ファイルに対して、SSL設定の追記・変更を行います。ファイル内容の編集のため下記コマンドを入力し、Vimテキストエディタで設定ファイルをを開きます。

vim /bitnami/wordpress/wp-config.php

6.
まずは赤枠内の部分を探します。Vimテキストエディタでは [/] を押すことで検索モードに入ることができます。「/{検索したい文字列}」で対象個所を見つけたら [i] を押してインサートモードに入ります。『http』となっている部分を『https』に変更したら、 [esc] キーを押してインサートモードを抜けます。

7.
続いて、以下赤枠部分を追記します。追記には [i] を押してインサートモードに入ります。追記が完了したら [esc] キーを押してインサートモードを抜け、「:wq」と入力して [Enter] キーを押すことで変更を保存してVimテキストエディタを終了します。

8.
設定ファイルを変更したら、設定読み込みのためにWordPressの入り口となるWebサーバの再起動を、以下のコマンドで行います。

sudo /opt/bitnami/ctlscript.sh restart apache

実行結果に「Restarted apache」と出たら、WordPressを開きなおしてみてください。本記事冒頭のような画面ではなく正常にWordPressが表示されたら成功です。お疲れさまでした。


◆ 参考文献

Lightsail WordPressを常時SSL(https)にする方法 | たこぼ〜log (takoboolog.com)
【 chmod 】 ファイルやディレクトリのアクセス権を変更する | 日経クロステック(xTECH) (nikkei.com)
Linuxの権限確認と変更(chmod)(超初心者向け) – Qiita
【初心者必見】最強エディタVimの使い方/コマンド30種まとめ | 侍エンジニアブログ (sejuku.net)

AWS LightsailでWordPress起動 (3:Lightsail用CDN設定、SSL設定、Route53設定変更)

 本記事は、WordPressが設定されたLightsailにContent Delivery Network(CDN)を設定し、そこにSSL証明書を追加、Route53によるドメイン名の名前解決先をCDNに変更します。

 今まで行った内容は以下の通りです。
LightsailでWordPressの起動からIPアドレスでのアクセス
Route53で新規.comドメインの取得
Route53で取得した.comドメインをLightsailに割り当て

 SSLを設定するにはApplication Load BalancerやAWS CloudFrontが必要になりますが、今回はLightsail用CDNを利用します。Lightsail用CDNはCloudFrontと異なりAWS WAFを有効化できないようなので、AWS WAFによるセキュリティ対策を行いたい場合はCloudFrontを設定いただければと思います(そのうちやりたい)。

※ 設定実施から記事化まで時間を空けてしまったので手順がうろ覚えの部分がございます。ご了承ください。


◆ Lightsail用CDN・SSL設定 (2023年2月時点)

1.
AWS Lightsail用管理コンソールを開きます。AWSマネジメントコンソールから「Lightsail」サービスを選択すると本ページにアクセスできます。
「Networking」をクリックし、「Create distribution」をクリックします。

2.
CDNの配信元となるオリジナルの選択を、「Choose an origin」プルダウンをクリックして選択します。

3.
WordPressの設定されたLightsailインスタンスを選択すると、WordPress向けのキャッシュ配信設定があるようで、これを有効化するのに「Yes, apply」をクリックします。

4.
Lightsailインスタンスを選択します。Lightsailインスタンスに固定IPアドレスを割り当てていた場合は、こちらもoriginの一覧に表示されます。

5.
No.3にてWordPress向けのキャッシュ配信を「Yes, apply」としたので、こちらで「Best for WordPress」になっているようです。

6.
CDNサービスのプランを選択します。月当たりのデータ転送量の上限に応じた金額となっており、超過すると別途追加料金が発生します。ここでは50GB/月(初年度無料、次年度以降 $2.50 USD/月)を選択します。

7.
CDNサービスの管理コンソール上での名前を入力し、「Create distribution」をクリックします。

8.
作成したLightsail用CDNに対してSSLの設定を行います。作成したLightsail用CDNのページにて「Custom domains」をクリックします。

9.
画面を下にスクロールし、「I understand, continue」をクリックします。

10.
「Create certificate」をクリックします。

11.
作成するSSL証明書のLightsail管理コンソール上での名前を入力し、「Continue」をクリックします。

12.
Route53で予め取得したドメインを入力します。ここでは「kageroulab.com」となります。またwww付きの「www.kageroulab.com」も追加し、「Create certificate」をクリックします。

13.
「Continue」をクリックします。

14.
「Attach certificate(1 available)」をクリックします。その下にて、作成したSSL証明書を選択し、「Attach」をクリックします。

15.
「I understand」をクリックします。

16.
AWS Lightsail管理コンソールのトップから「Domains & DNS」をクリックし、今回編集するDNS zoneの名前リンクをクリックします。

17.
「Assignments」をクリックします。
以前の記事で行った、ドメイン名にWordPressのLightsailインスタンスに割り当てた固定IPアドレスが紐づいているので、これを削除します。その後「+ Add assignment」をクリックします。

18.
ドメイン名について取得したドメイン(サブドメインを含まない)を選択し、リソースの指定で作成したLightsail用CDNを選択し、「Save」をクリックします。

19.
Domain assignmentsの一覧に、設定したメインのドメインと作成したLightsail用CDNが紐づいた行が表示されることを確認します。

20.
画面を下にスクロールし、「+ Add assignment」をクリックして、サブドメインを選択、「www.{取得したドメイン}」を指定してLightsail用CDNを紐づけに指定し、「Assign」をクリックします。

21.
メインのドメインとLightsail用CDNの紐づけの下に、「www.{ドメイン名}」とLightsail用CDNの紐づけの行が追加されたことを確認します。

22.
AWS Lightsail管理コンソールのトップに戻り、「Networking」をクリックします。作成したLightsail用CDNの名前リンクをクリックします。

23.
「Custom domains」をクリックします。

24.
画面を下にスクロールし、作成したSSL証明書の「Validation details」を開きます。メインドメインと「www.{ドメイン名}」のそれぞれについて、『Name』『Value』をコピーし、メモ帳にペーストしておきます。後ほどの手順でCNAMEレコードの登録に利用します。

25.
AWS Lightsail管理コンソールのトップに戻り、「Domains & DNS」をクリックします。DNS zonesの、今回設定したドメイン名リンクをクリックします。

26.
「DNS records」をクリックし、「+ Add record」をクリックします。

27.
追加するレコードに「CNAME record」を選択し、No.24で確認したメインドメインの『Name』『Value』の組み合わせをレコードとして登録します。各テキストボックスに入力後、「Save」をクリックします。

28.
No.27と同様に、「www.{ドメイン名}」についての『Name』『Value』をCNAMEレコードとして登録します。

29.
最終的に、メインドメインと「www.{ドメイン名}」それぞれに対するAレコードが1つずつと、CNAMEレコードが1つずつの計4レコードが登録されたことを確認します。

これでAWS Lightsail管理コンソール上の設定は完了です、お疲れさまでした。
ただしWordPress側でSSL通信に対応するための設定が別途必要となりますので、そちらは次回の記事で解説いたします。

AWS LightsailでWordPress起動 (2:Route53で取得したドメインをLightsailに割り当て)

 本記事は、WordPressが設定されたLightsailに対して、Route53で新規に取得した.comドメインを割り当てて、ドメイン名でWordPressにアクセスすることを行います。

 WordPressが設定されたLightsailの構築はこちらの記事で行っています。こちらの記事ではWordPressへのアクセスは、Lightsailに割り当てられた動的IPアドレスで行っています。

 また、Route53での.comドメインの新規取得はこちらの記事で行っています。この記事で構築したLightsailに固定IPアドレスを割り当て、取得した.comドメインについてLightsailの固定IPアドレスを対応させることで、Lightsail上のWordPressにドメイン名でアクセスができます。

※ 設定実施から記事化まで時間を空けてしまったので手順がうろ覚えの部分がございます。ご了承ください。


◆ AWS Lightsailへのドメイン割り当て手順 (2023年2月時点)

1.
AWS Lightsail用管理コンソールを開きます。AWSマネジメントコンソールから「Lightsail」サービスを選択すると本ページにアクセスできます。
「Domains & DNS」をクリックします。

2.
画面を下にスクロール、Domain configuration内のDomain sourceについて「Use a domain that is registered with Amazon Route 53」を選択します。
Route53で取得したドメインが表示されますので、利用したいドメインを選択して最下部の「Create DNS zone」をクリックします。

3.
画面が切り替わり、選択したドメインでのDNS zoneが作成されます。「Go to domain」ボタンをクリックします。

4.
DNSの設定が行われます。

5.
『Assignments』タブを開き、「+ Add assignment」をクリックします。
Select a domain nameにてメインのドメイン名を利用するのか、特定のサブドメインを利用するのか、すべてのサブドメインを利用するのかを選択します。ここではメインドメイン(kageroulab.com)を選択します。
Select a resourceにてドメインを対応させるリソースを選択します。ここではすでに立てていたWordPress設定済みのLightsailインスタンスを選択します。
Select the addressにて「Attach static IP」のリンクをクリックします。

6.
固定IPアドレスをAWS Lightsailコンソール上で管理する上での名前を入力し、「Create and attach」を入力します。

7.
固定IPアドレスの作成が完了したら「Continue」ボタンをクリック後、元の画面で「Assign」をクリックします。

8.
Assignmentの一覧に選択したドメイン及び対応する固定IPアドレス、Lightsailインスタンスが表示されたことを確認します。

9.
『DNS records』タブを開き、A RECORDS欄に選択したドメインと対応する固定IPアドレスが表示されることを確認します。

10.
AWS Lightsail管理コンソールのHome画面に戻り、『Instances』タブを開きます。
作成した固定IPアドレスが設定対象のLightsailインスタンスに割り当てられていることを確認します。

11.

Microsoft EdgeやGoogle Chromeのブラウザにて

http://{設定したドメイン名}

を入力してアクセスします。以下の通りページがでれば成功です。お疲れさまでした!
次回はSSLの有効化と、それに伴うLightsail用のCDN(Content Derivery Network)の設定を行います。

AWS Route53でドメイン取得

 本記事では、AWS Route53にて新規の.comドメインを取得します。

 AWS Route53はAWSが提供するDNSサービスです。ドメインの取得からルーティングの設定、ルーティング先のサービスの正常性確認を行うことができるサービスです。

 こちらの記事にてAWS LightsailでWordPressを公開し、IPアドレスによるアクセスを行っています。このWordPressに対してドメイン名を割り当てる目的で取得しています。


◆ AWS Route53でのドメイン取得手順 (2023年2月時点)

1.
AWSマネジメントコンソールの検索ボックスで「route 53」と検索し、表示される「Route 53」をクリックします。

2.
「ドメインの登録」をクリックします。

3.
取得したいドメイン名を入力、トップレベルドメインを選択し、「チェック」をクリックします。

4.
希望したドメインが取得可能であれば、ステータス欄に利用可能と表示されます。また1年あたりの料金も表示されます。料金はトップレベルドメインによって変わります。取得したい文字列によっても変わるかもしれません。取得したいドメインについて「カートに入れる」をクリックします。

5.
画面右側にカートの内容が表示されます。年数を伸ばしたい場合はこちらで変更できますが、のちの画面で自動更新の有効化もできるので、ここでは1年としました。

6.
画面を下にスクロールし、「続行」をクリックします。

7.
ドメイン登録者の連絡先を入力します。最下部の『プライバシーの保護』については、個人でドメインを取得する場合は「有効化」をした方が良いでしょう。これを行わないとこちらの画面で入力した連絡先や住所がWhois(IPアドレスやドメインの登録者の情報を参照できるサービス)で公開されてしまいます。「有効化」をすることで、Whoisで公開される情報がAWSの情報となり、登録者の住所や電話番号などを晒すことはなくなります。
入力後、「続行」をクリックします。

8.
3つの連絡先について「プライバシー保護済み」となっていることを確認します。

9.
画面を下にスクロールし、ドメインの自動更新について「有効化」または「無効化」を選択します。ここでは「有効化」を選択しました。

10.
『AWSドメイン名の登録契約を読んで同意します』のチェックを入れ、「注文を完了」をクリックします。

11.
『注文が正常に送信されました』のメッセージが表示されたら「閉じる」をクリックします。

12.
「ドメインに移動」をクリックします。

13.
ドメインの登録の最中は以下のような画面になります。しばらくすると画面が切り替わります。

14.
登録が完了するとドメイン名欄がリンクになるので、リンクをクリックします。

15.
ドメイン登録者のメールアドレスが正常であるかの確認が未確認である場合は「ドメインは停止している可能性があります」のメッセージが表示されます。この場合はドメイン登録者の連絡先で指定したメールアドレスに確認メールが届いているはずなので確認します。

16.
以下のような内容のメールが届きます。記載されている確認用URLをクリックします。

17.
確認URLを開いて以下のような画面が表示されれば確認は成功です。

18.
再度手順No.15の画面を開くと、ドメインは停止している旨のメッセージは表示されなくなっているはずです。こちらの画面で『移管のロック』の「有効化」をクリックします。

19.
移管のロックのリクエストが送信された旨のメッセージが表示されれば成功です。

20.
『移管のロック』欄が「有効」となっていれば、ドメイン移管ができないようにロックされた状態となっています。

21.
Whoisでドメイン登録者の連絡先がAWSの情報で秘匿されているか確認します。
ドメイン/IPアドレス サーチ 【whois情報検索】 (cman.jp) にアクセスします。
『グローバルIPアドレスまたはドメイン』に取得したドメインを入力し、制約事項の確認チェックを入れ「管理情報照会実行」をクリックします。

22.
確認結果内の『情報公開URL(Whois)』をクリックします。こちらは取得したドメインのトップレベルドメインによって変わりますので、この場合は「.com」ドメインの例となります。

23.
移動した情報公開URLにて再度ドメイン名を入力して検索を行います。

24.
検索結果で表示されるドメイン登録者の連絡先等の情報として、AWSの情報が表示されていることを確認します。これでドメインの取得・確認は完了です。お疲れさまでした!
次回は取得したドメインをAWS Lightsailに紐づける手順を投稿予定です。

AWS LightsailでWordPress起動 (1:Lightsail起動からIPアドレスでのアクセスまで)

 本記事では、あらかじめWordPressが設定されたAWS Lightsailを起動して、IPアドレス指定によるアクセスまでを行います。

 AWS LightsailはAWSが提供する仮想のプライベートサーバー(VPS)です。仮想サーバーサービスのEC2とは異なり、従量課金ではなく月額固定の料金で利用できます。WordPressやLAMP、Redmineなどがあらかじめ設定されたインスタンスを利用することもできます。
 今回はAWSの東京リージョン・アベイラビリティゾーンA上に、WordPressがあらかじめ設定されたLightsailを起動し、IPアドレスを指定してアクセスするところまでを行います。図示すると以下のような構成になると思います。


◆ AWS LightsailでのWordPress起動手順 (2023年1月時点)

1.
① AWSマネジメントコンソールの右上でリージョンを選択します。
② 検索ボックスで「lightsail」と検索します。
③ 表示されるサービス「Lightsail」をクリックします。

2.
「Let’s get started」をクリックします。

3.
右下でLightsail用コンソールの表示言語を変更できます。
※ 以降の手順も参考画像はEnglishのままでした、ご了承ください。

4.
画面を下にスクロールし、Select a platform欄にて利用するOSを選択します。今回は「Linux/Unix」を選択しました。

5.
画面を下にスクロールし、Select a blueprint欄にて「Apps + OS」を選択し、アプリについては「WordPress」を選択します。

6.
黄緑色背景の部分の文章はWordPressを構成するBitnami・Automatticのライセンスに関する説明書きのようです。
Optional欄の「+ Add launch script」を開いてみます。

7.
先の「+ Add launch script」をクリックして展開された① 欄にシェルスクリプトを記載することで、インスタンスの初回起動時にシェルスクリプトが実行されるようです。インスタンス起動時に必ず入れる設定があるようなプロジェクトでは、インスタンス複製時に役に立つと思われます。今回は特に何も入れないこととします。
② 「Change SSH key pair」をクリックしてみます。

8.
① インスタンスに接続する際のSSH Keyをデフォルトのものから本画面で新たに作成するもの、または自分であらかじめ用意したものへ変更できるようです。今回はDefault keyのままとします。
② 「Enable Automatic Snapshots」のチェックを入れてみます。

9.
スナップショットの取得時間とタイムゾーンを選択します。毎日指定した時刻にスナップショットが取得され、最大7日間保存されます。

10.
金額とスペックを参考に、インスタンスプランを選択します。今回は最も安い「$3.5」のプランを選択します。

11.
① インスタンスの名前を設定し、作成するインスタンス数を入力します。
② 「+ Add key-only tags」をクリックすることで、マネジメントコンソール上でのソートに利用可能なキー値のみのタグを追加できます。また「+ Add key-value tag」をクリックすることで、金額請求にてプロジェクトごとの金額を出したり、アクセス制御に利用可能なキーと値のタグを追加できます。

12.
① Key-only tagsの入力欄、Key-value tagsの入力欄は以下のようになります。Key-value tags の方は複数のKey-valueタグを追加できます。
② 「Create instance」ボタンをクリックします。

13.
インスタンスが作成されます。「Pending」となっている間は起動中ですのでしばらく待ちます。

14.
① 「Running」となれば起動しており、インスタンスにアクセス可能な状態となります。
② コンソールアイコンをクリックするとコンソールが開き、インスタンスを操作できます。
③ グローバルIPアドレスが表示されます。本アドレスでインスタンス(今回はWordPress)にアクセスができます。なおこのIPアドレスは動的IPアドレスとなり、Lightsailインスタンスを再起動するたびにアドレスが変わります。固定IPアドレスの割り当ては、こちらの記事にて行います。

15.
WordPressの管理ページにアクセスするための初期パスワードを確認します。手順No.14の②でコンソールアイコンをクリックすると以下のコンソール画面が開きます。こちらにて以下コマンドを実行します。

cat $HOME/bitnami_application_password

実行して表示される文字列がWordPress管理ページのパスワードとなります。

16.
Microsoft EdgeやGoogle Chromeのブラウザにて

http://{LightsailのグローバルIPアドレス}

を入力してアクセスします。以下のようなページが表示されるはずです。

17.
Microsoft EdgeやGoogle Chromeのブラウザにて

http://{LightsailのグローバルIPアドレス}/wp-login.php

を入力してアクセスします。以下のようなページがでれば成功です。Username of Email Address欄に「user」、Password欄に手順No.15で確認したパスワードを入力し、「Log In」ボタンをクリックします。

18.
以下の通り管理ページが表示されれば成功です、お疲れさまでした!
次回はドメインを取得、DNS設定を行いドメイン名でWordPressにアクセスできるように設定を実施していきましょう。

AWSルートユーザーへのMFA設定

 本記事では、AWSのルートユーザーに対してMFA(多要素認証)の設定を行います。

 AWSに新規登録した際に作成されるルートユーザーは、あらゆるサービスの作成・変更・削除が可能です。乗っ取られてしまうとリソースの悪用、データの消失、高額な利用料の請求などが発生する恐れがあるので絶対に奪われてはいけません。そのため本記事のようにMFA設定を行い、乗っ取りのリスクを低減させましょう。
 MFAにはいくつかの方法がありますが、今回はスマートフォンにMicrosoftが提供する「Microsoft Authenticator」という認証アプリを利用します。

 また上記の通りルートユーザーはあらゆる操作が可能なため、別途操作可能な範囲・権限を絞ったIAMユーザーというユーザーを作成して操作を行うことが推奨されています。こちらは後日記事を作成する想定(未定)です。


◆ AWSルートユーザーへのMFA設定手順 (2023年1月時点)

1.
AWSマネジメントコンソールにログインし、右上のアカウント名をクリックし、表示されるメニューないの「セキュリティ認証情報」をクリックします。

2.
開いた『セキュリティ認証情報(ルートユーザー)』画面の「MFAを割り当てる」ボタンをクリックします。

3.
開いた『デバイスを選択』画面で「デバイス名」欄に任意のデバイス名を入力します。その後画面を下にスクロールします。


「MFAデバイスを選択」にて利用したいMFAデバイスを選択します。冒頭で記載した通り、今回はスマートフォンにMicrosoftが提供する「Microsoft Authenticator」という認証アプリを利用しますので、「認証アプリケーション」を選択して「次へ」ボタンをクリックします。

4.
『デバイスの設定』画面に遷移します。「互換性のあるアプリケーションのリストを表示」をクリックすると、利用可能な認証アプリケーションを確認できます。


開いた画面を下にスクロールすると、利用可能な認証アプリケーションの一覧が表示されています。Googleが提供する「Google Authenticator」も利用可能です。

5.
先程の『デバイスの設定』画面にて、「QRコードの表示」をクリックします。


QRコードが表示されますので、スマートフォン側で認証アプリケーションをダウンロードし、認証アプリケーションにてQRコードを読み取りましょう。


6.
スマートフォンで「Microsoft Authenticator」をダウンロードします。iPhoneの場合は『App Store』を開き、検索メニューで「authenticator」で検索して出てきた「Microsoft Authenticator」をタップします。

7.
「Microsoft Authenticator」のダウンロードボタンをタップします。

8.
ダウンロードした「Microsoft Authenticator」をタップして開始します。

9.
「Microsoft Authenticator」起動時は都度、iPhoneのパスコードを入力します。

10.
「アカウントを追加」ボタンをタップします。

11.
「その他(Google、Facebookなど)」をタップします。

12.
カメラへのアクセスを求められるので「OK」をタップします。カメラが起動したら手順5で表示させたQRコードを読み取ります。

13.
『Amazon Web Services』の設定が追加されれば成功です。表示される6桁の数字をログイン時に利用します。

14.
手順5の画面を下にスクロールし、「MFAコード1」の欄に手順13で表示される6桁の数字を入力します。続いて「MFAコード2」の欄に、再度手順13の画面で「MFAコード1」の欄に入力した数字の次に表示された数字を入力します。その後「MFAを追加」ボタンをクリックします。

15.
画面に緑色背景で「割り当て済みのMFAデバイス」とメッセージが表示されれば成功です。画面右上のアカウント名をクリックして表示されるメニューから「サインアウト」をクリックします。

16.
「もう一度ログインする」ボタンをクリックします。

17.
『サインイン』画面で「ルートユーザー」を選択し、ルートユーザーのメールアドレスを入力し、「次へ」ボタンをクリックします。

18.
「パスワード」欄にルートユーザーのパスワードを入力し、「サインイン」をクリックします。

19.
「Microsoft Authenticator」上で表示されるMFAコードを「MFAコード」欄に入力し「送信」ボタンをクリックします。ログインが成功すれば確認は完了です。
お疲れ様でした!

Amazon Web Servicesに登録する

 本記事では、Amazonが提供するクラウドコンピューティングサービスである、Amazon Web Services(以下AWS)に登録するまでの流れを解説します。

 AWSはクラウドコンピューティングサービスとして、仮想ネットワークや仮想マシン、データベース、Webアプリケーション実行環境などのサービスを、IaaS、PaaS、SaaSなどの様々な形で提供しています。
 同様のクラウドコンピューティングサービスとしてMicrosoftが提供するAzureや、Googleが提供するGoogle Cloud Platformもありますが、シェアは2023年1月段階でもAWSが1位でしょう。


◆ Amazon Web Servicesに登録する手順(2023年1月時点)

1.
アマゾン ウェブ サービス(AWS クラウド)- ホーム (amazon.com) にアクセスし、右上の「今すぐ無料サインアップ >>」ボタンをクリックします。

2.
『AWSにサインアップ』の画面で、「ルートユーザーのEメールアドレス」欄にメー
ルアドレスを、「AWSアカウント名」に任意のアカウント名を入力して、「確認コードをEメールアドレスに送信」ボタンをクリックします。

3.
AWSから『メールアドレスの検証』という内容のメールが届きます。メール内に記載の検証コードを控えておきます。

4.
手順2の画面から遷移した『Eメールアドレス認証による本人確認』画面の「確認コード」欄に、手順3で確認した検証コードを入力し、「確認を完了して次へ」ボタンをクリックします。

5.
『パスワードの作成』画面で、「ルートユーザーパスワード」欄に任意のパスワードを入力し、「ルートユーザーパスワードの確認」欄に再度パスワードを入力して、「次へ(ステップ 1/5)」ボタンをクリックいします。

6.
『連絡先情報』画面で、「ビジネス」または「個人」を選択します。今回は「個人」を選択します。「フルネーム」を入力、「電話番号」はプルダウンで国を選択したうえで入力、「国または地域」を選択、「住所」を入力します。「住所」欄は2つに分かれていますが特に入力方法に指定はありません。私は最初の欄に番地、次の欄に建物名といった感じで分けて記載しました。この後下にまだ欄があるのでスクロールしていきます。


画面を下にスクロールし、「市区町村」「州/都道府県または地域」「郵便番号」を入力します。「AWSカスタマーアグリーメントの条項を読み、同意します」のチェックを入れ、「次へ(ステップ 2/5)」ボタンをクリックします。

7.
『請求情報』画面で、「クレジットカードまたはデビットカード番号」を入力します。「有効期限日」についてカードの有効期限日をプルダウンで指定します。「カード保有者の氏名」を入力します。「請求先住所」は、手順6で入力した「連絡先住所を使用する」か、「新しい住所を使用する」を選択します。ここでは「連絡先住所を使用する」を選択しました。その後「確認して次へ -(ステップ 3/5)」ボタンをクリックします。

8.
『本人確認』画面で認証コードの受け取り方法を「テキストメッセージ(SMS)」または「音声通話」から選択します。ここでは「テキストメッセージ(SMS)」を選択しました。「国または地域コード」を選択し、「携帯電話番号」を入力します。


「セキュリティチェック」に表示された文字列を「上に表示された文字を入力してください」欄に入力し「SMSを送信する(ステップ 4/5)」ボタンをクリックします。

9.
『本人確認』画面で「コードを認証」欄に、SMSに届いたコードを入力して、「次へ(ステップ 4/5)」ボタンをクリックします。

10.
『サポートプランを選択』画面でサポートプランを選択します。サポートプラン内容の説明を読み、必要なサポートプランを選択しましょう。私は「ベーシックサポート – 無料」を選択しました。下にスクロールします。


サポートプランを選択したら、「サインアップを完了」ボタンをクリックします。

11.
『おめでとうございます』の画面で「AWSマネジメントコンソールへ進む」ボタンをクリックします。

12.
『サインイン』画面で「ルートユーザー」を選択し、手順2で設定した「ルートユーザーのメールアドレス」を入力し、「次へ」ボタンをクリックします。

13.
「パスワード」欄に手順5で設定したルートユーザーのパスワードを入力し、「サインイン」をクリックします。

14.
以下の画面がでればマネジメントコンソールへのログインが完了です。
お疲れさまでした!