【AWS】AWS IAMに再入門してみた

Posted at 2025-01-03

はじめに

SAAを受験するため、IAMに再入門したためアウトプットとしてまとめます

IAM (Identity and Access Management)の略で、AWSを利用できるユーザを作成/削除/権限の付与を行う事ができます(簡単にいうと、AWS上のユーザ管理画面です)

なぜIAMが必要かを説明するため、Aさん/Bさん/Cさんで開発・運用を行う場合を考えてみましょう
各ユーザの役割は以下とします

Aさん: AWSの管理者で社内で利用するAWSアカウントを作成した人
Bさん: 開発担当
Cさん: 運用担当

もし、IAMが存在しない場合はAさんの何でもできる強い権限をBさん/Cさんとアカウント共有をして使い回す必要があります

上記の運用では、以下の問題点があります

上述したリスクを避けるために、

が推奨されています。
また、IAMではIAMユーザを管理者のグループ・開発者のグループ・運用担当者のグループとグループ化する機能(IAMグループ)もあります
本記事では先にIAMユーザが所属するグループを先に作成していきます

IAMのページへは、AWSログイン後に虫眼鏡のマークでIAMと検索 => IAMを押下すると遷移できます

管理者グループを作成してみます。
IAMを利用しない場合で例示したAさんが所属するグループです。

アクセス管理 => ユーザグループ => グループを作成を押下
任意のユーザグループ名を入力
AdministratorAccessを選択し、ユーザグループを作成を押下します
- AdministratorAccessは請求金額の確認やクレジットカード情報の変更以外、何でもできる管理者権限になります

これで、管理者グループが作成できました。

管理者グループに入っているユーザはグループに付与した権限を得る事ができます。
グループを作成することで、ユーザ毎に何度も同じ権限を設定したりすることがなくなります。

次はIAMユーザを実際に作成してみます。

管理者グループにIAMユーザを作成して、追加してみます

アクセス管理 => ユーザ => ユーザの作成を押下します
任意のユーザ名を入力し、AWS マネジメントコンソールへのユーザーアクセスを提供するにチェックを入れます
- チェック不要でも良いですが、CLIでAWSを操作したい場合はチェックを入れてください
ユーザタイプはIAMユーザを作成しますを選択します
- 2024年1月3日時点ではIdentity Center でユーザーを指定する方法が推奨されていますが、IAM作成のデモのため本記事ではIAMユーザを作成しますを選択します
自動生成されたパスワード/カスタムされたパスワードのどちらかを選択します
ユーザーは次回のサインイン時に新しいパスワードを作成する必要がありますにチェックを入れます
- チェックを入れることで、IAMユーザの初回ログイン後に新規でパスワードを入力してパスワード変更を行えます
- AさんがIAMユーザを発行した後に、Cさんに初回ID/パスワード共有 => Cさんがパスワード再設定する事でCさんしかIAMユーザへはログインする事ができなくなり高いセキュリティを実現する事ができます
先ほど作成したユーザグループを選択し次へを押下します
ユーザの作成を押下します