CloudFront 代替ドメイン名

代替ドメイン名は、CloudFrontで独自ドメインを使用するための設定ですが
他のディストリビューションで既に名前が使用されている場合「CNAMEAlreadyExists」
のエラーが発生し使用することが出来ないため、設定はグローバルで一意である必要があります。
CloudFrontの代替ドメインでワイルドカードを指定すると知らないページが表示された - DENET 技術ブログ 2022

S3 https SSL

結論としては、
S3デフォルト(「REST APIエンドポイント」)では HTTPS通信可能。
「ウェブサイトエンドポイント」としての設定(ドメイン名のフォーマットが「REST APIエンドポイント」と異なってくる)をした場合は、「ウェブサイトエンドポイント」用のドメインでは、HTTPS通信できない (但し、デフォルトで使える「REST APIエンドポイント」のドメイン型式であれば、HTTP/HTTPSで引き続きアクセスできる)。
S3のSSL通信 - Qiita 2019

https://aws.amazon.com/jp/premiumsupport/knowledge-center/s3-returns-objects/

S3 IAM ユーザ

https://stackoverflow.com/questions/24864114/whats-the-specific-permission-to-allow-an-aws-iam-group-access-to-change-an-s3

オブジェクトのメタデータ変更を AWSコンソールから 行うとエラー
→ s3:ListAllMyBuckets が必要だった

AWS CLI で S3 オブジェクトのメタデータを変更する - michimani.net

ユーザーポリシーの例 - Amazon Simple Storage Service

バケット の 1 つへのアクセスを IAM ユーザーに許可する

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action": "s3:ListAllMyBuckets",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:ListBucket",
            "s3:GetBucketLocation"
         ],
         "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET1"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetObject",
            "s3:GetObjectAcl",
            "s3:DeleteObject"
         ],
         "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*"
      }
   ]
}

Cognito 独自ドメイン AWS

つまり、
Cognitoで独自ドメインを使いたいのなら
Route53に登録しているルートドメイン(example.com)に対して、Aレコードが設定されていることで
ドメインの所有者だとみなします。
という意味かと思われ。。
Cognitoに独自ドメインが設定できた - Qiita

AWSアカウント

AWSアカウントを作ったら最初にやるべきこと ~令和元年版~ | DevelopersIO 2019

AWSでMFA(二段階認証)を有効にする方法を超丁寧に説明するよ - Qiita 2018

請求

下記に引用したとおりデフォルトではIAMアカウントでは「請求とコスト管理」にはアクセスできません。
「請求とコスト管理」コンソールにアクセスできるIAMアカウントを作成する - Qiita 2016

電子メールで PDF 版請求書を受け取る
説明にある通り、PDFの請求書をメールで受け取れます。ここはひとまず受け取る設定にしておけば間違いないので有効にしておきます
AWS請求情報の設定(CloudWatch、コストエクスプローラ、現地通貨設定など) 2017

AWS Budgetsのアラート機能
おそらく一番ベーシックと言えるであろう機能です。
予算に対してアラートを設定できます。
...

請求アラート
上記の機能ができる前からある機能です。
現在は積極的に使用する理由は無いと思われます。(もしかしたら便利に使えるパターンがあるかも知れませんが)
...
AWSの料金アラートの違い 2021

CloudTrai

AWS操作で利用されるAPIを記録するAWSサービスです。
もう少しかみ砕くと、
①ルートアカウント、IAMユーザの操作を記録/追跡するサービスです。
②記録対象のイベントには2種類あります。
  ・管理イベント
  ・データイベント
③デフォルトで管理イベントの取得は有効になっており、90日間分のデータがS3に保存されています。(無料です)
④デフォルトではデータイベントの取得は無効になっており、記録するには設定が必要です。
⑤90日以上のデータを保持したい場合には、別途操作が必要です。(有料です。)
【AWS】CloudTrailについて - 自由気ままに書いちゃおう

AWS Organizations

管理アカウント management account (mgmt)
メンバーアカウント member account (子アカウント)

1アカウントでAWSを利用している場合のAWS Organizations化について - NRIネットコムBlog 2021

AWS Organizationsから新規AWSアカウントを作成してスイッチロールしてみた | DevelopersIO 2020

問題はパスワードです。子アカウントを作成する際にも入力した覚えがないので、ここは「パスワードをお忘れですか?」をクリックし、パスワードの設定を行います。
AWS Organizationsでアカウント管理してみる 2019

  • 一つのAWSアカウントに本番環境や検証環境のサービスを同居させたくない
  • 本番環境、ステージング環境、検証環境等を完全に分離させたい
  • 検証環境は開発エンジニアがEC2等インスタンスを作成、削除を許容したいが本番環境はインフラエンジニアだけ許可などの制御がしたい
  • 環境ごとにIAM発行する手間をなくしたい
  • スイッチロールを使用しIAM1つだけで済むようにしたい

AWS Organizationを使った環境別アカウントの作成とスイッチロールの導入 - Qiita 2021

AWS IAM - external storage 1

[アップデート] AWS Organizationsでメンバーアカウントを簡単に削除できるようになりました | DevelopersIO
「すべての機能を有効にした組織」→ メンバーアカウントを削除できる
「一括請求機能のみの組織」

AWS Organizations の組織間でアカウントを移動

https://aws.amazon.com/jp/premiumsupport/knowledge-center/organizations-move-accounts/

https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_accounts_remove.html#orgs_manage_accounts_leave-as-member

Leave organization → サインアップステップが完了してない場合は遷移する。
連絡先情報を指定する
有効な支払い方法の指定
電話番号を検証する
サポートプランオプションを選択する

AWS OrganizationsのAWSメンバーアカウントを別のOrganizationに引っ越ししました - Karakuri.com 2020

JUMPアカウント

Jump アカウント

https://d0.awsstatic.com/events/jp/2017/summit/slide/D4T2-2.pdf

IAM ユーザー/グループを一つのアカウントに集約する Jump アカウント(別名、踏み台アカウント)を利用している環境において、AWS の利用を送信元 IP アドレスにより制限する方法を 2 つ紹介します。
Jumpアカウント環境でIPアドレス制限を行う方法 | DevelopersIO 2022

※この作業用アカウントはJumpアカウントと呼ばれることもあります
AWSマルチアカウントにおけるIAMユーザー設計戦略を考えてみる - How elegant the tech world is...! 2022

s3 cloudfront ホスティング

サブディレクトリのインデックスドキュメント ( index.html )
ベーシック認証

S3とCloudFrontでwebサイトを公開する際のバケット設定はどうすべきか? · horizoon 2021

CloudFrontのデフォルトルートオブジェクトとS3の静的ウェブサイトホスティングのインデックスドキュメントの動作の違い | DevelopersIO

S3はprivate。オリジンアクセスアイデンティティでCFからのみアクセス可にする。サブディレクトリのインデックスドキュメントが必要な場合は CloudFront Functions を使うのが良さそう 2022

参考

バケットを作成してから24時間以上経っているかどうか
ブラウザ上で確認していると気付きにくいが、403ではなく、307でリダイレクトされ結果403になっていることがあります。
リダイレクト先はS3のREST API エンドポイントです。
適切にアクセス元が絞られていれば、S3への直アクセスは Denied になるので、結果的に403という状態になっています。
CloudFront×S3で403 Access Deniedが出るときに確認すべきこと - Qiita

2018 aws CloudFront S3 hosting - external storage 1