この記事の対象者
AWSでIAMユーザを割り当てられて手順通り管理したり、
初心者用の本読んだりしたけど、イマイチ理解できていない人が
いきなりAWSのアカウントを作成して、四苦八苦しながら
検証や勉強の環境を作っているライブ配信を見たい人
*ただし更新はリアルタイムではないので注意
*Markdownも慣れていないので読みにくいと思うけど我慢できる人
その1でやったこと
アカウントを作っていきなり戸惑ったこと。
最初にやること(IAMでサインインリンクを作成)
その2の内容
ルートユーザーではない管理用IAMユーザーを作成
今更ですがそもそもIAMユーザーって何?
あなたのAWSクラウド領域の管理コンソールにサインインできるユーザーのこと。
決して、「EC2サーバーにログインするためのユーザー」とか、「WorkSpacesにログインするためのユーザー」ではないので注意です。
管理者用IAMユーザーを作成
IAMメニューに行きます。
わかりにくいのは「ロール」「ポリシー」ですね。
(IDプロバイダはこの際無視)
ユーザーを作る前にまずやること
パスワードポリシー、つまり、「パスワードは何文字以上」だとか、複雑性だとか、そういうやつです。
通常はそれほど気にしなくてよいですが、気にする方は先に設定しましょう。
グループとユーザー
これは見たまんまです。Windowsに詳しい人であれば、セキュリティグループとユーザーだと思ってもらえれば十分です。
ロール
実は、まだよくわかっていません。例えば、EC2で作成したDBサーバのバックアップをS3に取得する際に、DBサーバのインスタンスに対してS3にアクセスできるロールを割り当てる、とかそういう感じです。
ポリシー
ポリシーは詳しくなっておいたほうがいいです。
IAMに対するアクセス権限のことで、ロールやグループに割り当てます。
例えば「S3フルアクセス」というポリシーがあって、これをグループに割り当てれば、
そのグループに所属するユーザーは、S3を管理する権限が与えられていることになります。
ロールに割り当てれば、そのロールが割り当てられているEC2インスタンスが、S3にアクセスできるようになります。
(ここは概念の話なので、実際の挙動とは違鵜と思います。ふーんそんなものか、と思ってください)
しかし、困ったことに、デフォルトのポリシーだけで、無数にあります。
しかも、1つのポリシーの中に、「何ができるのか」が複数設定されていたりします。
それでは面倒なので、自作ポリシーを作るとよいです。
GUIでも簡易なものはできますが、jsonで記述する方法があるので、各自調べてみてください。
現在、必要としているのは、
・ルートユーザーの代理IAMユーザー
・EC2のインスタンスの作成と削除、起動と停止ができるIAMユーザー
・EC2のインスタンスの起動と停止ができて、Cloud9が使えるIAMユーザー
の3つですが、まず一番上の、ルートユーザーの代理ユーザーを作りたいので、
それ用のポリシーを作成することにします。ほかの2つは、実際に必要になった時点で作ります。
さて代理IAMユーザ用ポリシー、と思ったのですが、これは最初から用意されていますね。
「AdministratorAccess」というポリシーがあることを確認できればOKです。
グループ
新しいグループを作成で、適当な名前を付けて、ポリシーのアタッチ画面へ。
たぶん一番上に「AdministratorAccess」ポリシーがあるので、それにチェックをいれて完成。
ちなみに、ここの名前の横にAWSアイコンがあるポリシーが、デフォルトで存在するポリシーです。
難しくないですね。
ユーザー
ユーザーを追加をクリック。
アクセスの種類は「AWS マネジメントコンソールへのアクセス」を選びましょう。
パスワードはここで作成したほうがわかりやすいので、「カスタムパスワード」を選びましょう。
リセット云々はご自由に。
次に進むと、グループを選択とかでてくるので、先ほど作成した管理者用グループを選んで、完了です。
IAMユーザーでログインしてみる
IAMユーザーが作成されたことが確認できたら、IAMユーザーサインインリンクを確認してから、ルートユーザーから一度サインアウトし、
サインインリンクから作成したIAMユーザーでログインしてみましょう。
今回はここまでー。