【AWS】IAMユーザーを作成してみた

AWS
2023.11.02

1.ルートユーザーとIAMユーザー

初めてAWSアカウントを作成~AWSマネジメントコンソール画面にログインした場合、その時のアカウントは「ルートユーザー」と呼ばれます。

このルートユーザーは、全てのAWSリソースにアクセスできる強力なアカウントであり、要は何でもできてしまうとっても便利なアカウント。

個人でAWSアカウントを作成し、1人で何かしらの作業する場合は、このルートユーザーアカウントをそのまま使ってしまっても、まぁ支障はないでしょう。
でも、チームで作業をする場合、このルートユーザーのアカウントをそのまま使うのはセキュリティ上非常に望ましくありません。
前述のとおり、何でも出来てしまうので。

そこで、チームの各メンバーが作業で使う一般ユーザー用アカウント(※IAMユーザーアカウント)を作成し、各メンバーに割り当てることが勧められています。
ルートユーザとIAMユーザーは、以下のようなイメージで役割分担するのが望ましいとの事。

<ルートユーザーの役割>
 ・AWSの解約
 ・請求額の確認
 ・一般ユーザー(IAMユーザー)の管理
 …etc
<IAMユーザーの役割>
 ・VPC作成
 ・EC2インスタンス作成
 ・S3バケット作成
 …etc

そこで今回、IAMユーザーアカウントを作成してみようと思います。

2.IAMユーザーとは

IAM(アイアム、アイエーエム)とは、Identity and Access Management の略です。
AWSの各リソースへのアクセスを安全に管理するために、各メンバー毎に割り当てるアカウントだと思ってください。

因みに、どのように安全を管理するかというと、主に「認証」「アクセス許可」の機能を組み合わせで実現させます。

認証

認証とは、これからAWSを利用するあなたが正しいユーザーであることをAWS側に伝えることです。
よくある、ID/パスワードを入力してログインするやつですね。
他にも、MFAによる認証(多要素認証)もあったりします。(※詳細はここでは割愛します)

アクセス許可

アクセス許可とは、対象のユーザーがAWSのどの機能を使える権限があるかを管理し、許可することです。
例えば、Aというユーザーはサーバーの作成と中身の閲覧が可能だが、Bというユーザーはサーバーの作成はできず閲覧のみ可能、
といった感じです。

3.IAMユーザーの作成手順

難しいことは一旦置いておきまして、まずは作ってみましょう!

① ルートユーザーでログインし、「IAM」の画面へ移動

ルートユーザーでログイン後、マネジメントコンソール画面上部の検索ボックスに”IAM”と入力して検索することで、
「IAM」が選択可能となり、同機能のダッシュボード画面に遷移します。

※上の画面では既にIAMユーザーを1件作成していますが、初めて作成する場合は、ユーザー数などは ‘0’ となっています。

IAMユーザーの作成が目的のため、IAMダッシュボード画面では「ユーザー」を選択します。

② ユーザー名の入力

上記の通り、IAMダッシュボード画面で「アクセス管理」→「ユーザー」をクリックし、ユーザー画面に移動します。
IAMユーザーを作成している場合は、この画面にユーザー名の一覧が表示されるのですが、この時点では、まだIAMユーザーがいない状態ですね。
よって、ここでは「ユーザーの作成」ボタンをクリックします。

ユーザー作成画面では、上記の通り「ユーザー名」を入力します。
当然ですが、他のユーザー名との重複はできないので、注意してください。
(※ちなみに、今回はユーザー名を「test-user」としています)
ユーザー名を入力後は、直下の「AWSマネジメントコンソールへのユーザーアクセスを指定する」のチェックを入れましょう。
そうすると、更に選択肢が表示されます。

③ 各種設定

ユーザータイプは、「Identity Center~」が推奨されていますが、今回は普通にIAMユーザーを作りたいだけなので、「IAMユーザーを作成します」を選択します。

その後は、パスワードに関する設定があります。
通常、こういったアカウント作成については、最初は自動生成されたパスワードを配布し、その後の初回ログイン時に自分の好きなパスワードに変えてもらう、というのがセオリーだと思うので、上記画面の通り、
・「自動生成されたパスワード」
・「ユーザーは次回のサインイン時に~(略)」
の2か所をチェックして「次へ」をクリックしてください。

次は、アクセス許可の設定を行う画面に移ります。
IAMユーザーは、セキュリティの観点から、メンバー毎に権限を個別に設定するのが望ましいです。
よって、上の画面でユーザー作成の流れで許可の設定をすることができます。
※許可の設定については、別の記事で詳しく説明しますので、今回はそのまま「次へ」をクリックします。

④ 作成後の確認

最後に、内容の確認を行い、「ユーザーの作成」をクリックすると、新たにユーザーが作成されます。
因みに、このユーザー初回ログイン時にパスワード変更が必要になりますので、「IAMUserChangePassword」のポリシーが最初から付与されています。
タグは、IAMユーザーが大量に作成された場合の管理用に利用するものですが、今回は一つ作成しただけなので、ここは省略します。

前画面にて「ユーザーの作成」をクリック後、上記の画面が表示され、ユーザーが正常に作成されたことが分かります。
この時作成したユーザーのID/パスワードは、各メンバーに通知する必要がありますので、「Eメールでのサインイン手順」を選択し、対象のメンバーにメールで通知してください。
また、この時の情報はCSVファイルで保持しておくこともできるので、必要に応じて「.csvファイルをダウンロード」ボタンにて、ファイルを取得してください。

まとめ

これで、IAMユーザーはとりあえず作成されたことになります。
作成後は、速やかに利用するメンバーにユーザー情報を通知し、初回パスワード変更など、必要な作業を指示してください。

IAMユーザーは前述の通り、ユーザー毎に様々な権限を個別に振り分けることができます。
しかしこのままでは、このユーザーはほとんど何も権限が付与されていないので、何の役にも立ちません。
今回の記事では、その辺りの細かい解説は割愛していますので、別の記事でそれらを詳しく書こうと思います。

お読みいただき、有難うございました!

コメント

タイトルとURLをコピーしました