LoginSignup
39
42

More than 5 years have passed since last update.

@mak_nakamura(makoto nakamura)

AWSコンソールを複数人で安全に共有する方法

Last updated at Posted at 2015-05-07

はじめに

AWSキッチンのシェフ中村です。
AWSでサーバーを構築する際に、アカウントを保持している人とは別の人が作業を行う場合があり、たとえば、お客様が開発ベンダーに仕事を依頼する際にAWSのアカウントを伝える場合がそれにあたります。この際に問題になるのが、通常のAWSログインアカウントを渡した場合、クレジット情報や課金情報等のお金にかかわる情報まで閲覧できてしまう可能性があることです。もちろんクレジットカード番号の閲覧はできませんが、これらの情報にアクセスできるのは少々問題があります。そこで、管理者用のアカウントと作業者用のアカウントを分けることで、これらの問題に対応したいと考えます。

AWSアカウントの種類

AWSのアカウントには、ルートアカウントとIAMアカウントがあり、ルートアカウントは管理者のアカウントで、IAMアカウントは利用するユーザー毎のアカウントになります。IAMアカウントは細かいアクセス制御が可能です。

作成対象のIAMアカウント

ここから、IAMアカウントとしてユーザー”nakamura”を作成する方法を記載します。このユーザーにはAdministrator権限を与えます。これによって、提供されるAWSサービスの殆どが操作できるため、作業者側の作業に支障はないと考えます。しかし、ルートアカウントではないため、課金情報等にはアクセスできません。

IAMアカウントの作成方法

IAMアカウントの作成はルートアカウントにて行います。

  1. ルートアカウントでログイン後、「Identity and Access Management」をクリックします。
    WS000000.jpg

  2. Identity and Access Managementの画面が開くので、左側メニューから「ユーザー」をクリックします。
    WS000001.jpg

  3. 右側上の「新規ユーザーの作成」をクリックします。
    WS000002.jpg

  4. ユーザー名の入力画面が表示されるので、作成するユーザーの名前を入力します。ここでは、”nakamura”としました。その後、右下の「作成」ボタンをクリックします。
    WS000003.jpg

  5. ユーザーが作成されます。右下の「認証情報をダウンロード」をクリックし、認証情報が書かれたファイルをダウンロードします。このファイルにはAWSが提供するAPIへのアクセスに必要な鍵情報が書かれています。その後、「閉じる」をクリックします。
    WS000004.jpg

作成したIAMアカウントにグループの割り当て

作成したIAMアカウントに対してグループを割り当てます。ここでは、管理者権限を持っているAdministratorグループを作成したユーザーに割り当てます。

  1. 左側メニューから「ユーザー」をクリックし、表示されたユーザー一覧からグループを割り当てたいユーザー名をクリックします。
    WS000006.jpg

  2. 「グループにユーザーを追加」ボタンをクリックします。
    WS000007.jpg

  3. 「Administrator」にチェックを付けます。
    WS000008.jpg

  4. 右下の「グループに追加」ボタンをクリックします。
    WS000009.jpg

パスワードの設定方法

作成したIAMユーザーがAWSコンソールにログインする時に利用するパスワードを設定します。幾つか種類がありますが、ここでは、ランダムなパスワードをまずは設定し、そのユーザーがAWSコンソールに最初にログインする際にユーザー側でパスワードを変更できるようにします。

  1. 左側メニューから「ユーザー」をクリックし、表示されたユーザー一覧からグループを割り当てたいユーザー名をクリックします。
    WS000006.jpg

  2. 右側画面の下側にある「パスワードの管理」をクリックします。
    WS000010.jpg

  3. 「次回のサインインで新しいパスワードを作成するようにユーザーに求める」にチェックを付けます。
    WS000011.jpg

  4. 「適用」ボタンをクリックします。
    WS000012.jpg

  5. 「認証情報のダウンロード」ボタンをクリックします。ログイン先URLとログインID、パスワードが書かれたファイルがダウンロードされます。その後、「閉じる」をクリックします。
    WS000013.jpg

IAMアカウントでログインするユーザーに渡すもの

AWSコンソールにアクセスするためには、パスワードの設定方法の最後でダウンロードした認証情報が書かれたCSVファイルが必要です。具体的には、このCSV内に書かれているUser Name、Password、Direct Signin Linkの情報が必要となります。

また、ユーザーがAWSのAPIを利用する場合には、Access Key Id、Secret Access Keyの二種類が必要となります。この情報は、ユーザーを作成する際の最後にダウンロードしたCSVファイルに書かれています。

最後に

この記事では、課金等の管理者側機能にはアクセスさせず、AWSの管理コンソールを作業者に利用して頂く方法を記載しました。本来であればIAMの細かなアクセスコントロール機能を駆使して必要最低限のアクセス権限をユーザーに付与するのが理想的ですが、作業者側に公開したくない情報としては、課金やクレジットカード情報等のサーバー構築作業に関係ない情報であることから、もっとも簡単にこれらの情報を閲覧できなくすることを目的として本記事を記載致しました。最後まで読んで頂きありがとうございました。

39
42
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
39
42