AWS・IAM(Identity and Access Management)ユーザの作成

IAM(Identity and Access Management)とは

ユーザーに対して AWS へのアクセスを安全に制御するための仕組み。
AWSのサービスやリソースへのアクセス権をユーザーに付与し、それらへのアクセスを許可する。
要は、AWSのユーザ管理ツールです。

IAMユーザの作成方法

まず、コンソールへログインしサービス一覧から[IAM]を選択。

IAM01.png

今回はグループとユーザ追加のみ行います。

IAM02.png

グループの作成

ユーザ作成から始めて、その途中グループ作成ということも可能ですが、今回グループを先に作ってからユーザ作成という形で進めてみました。

グループ作成01.png

任意のグループ名を入力。

グループ追加01.png

ポリシーのアタッチ(接続する・付属する・取り付ける)をします。
ポリシーのアタッチをすることで、ユーザのAWSに対するアクセス&管理権限を与えることができます。
ポリシーはAWSで既に用意されている既存のものを使うことも可能ですが、条件に合わせてカスタマイズもできるようです。
カスタマイズは難易度が高そうなので今回は触れません。

グループ追加02ポリシー.png

ポリシーの中でも利用頻度が高そうな以下2つについて。

AdministratorAccess
既存のポリシーも271件とものすごく多いんですね。中でも一番権限が強いのがこのAdministratorAccessです。
AWSのルートアカウントと同じような権限を持っています。

PowerUserAccess
AdministratorAccessからIAMの管理が外されているポリシーで2番目に強い権限を持っています。

どちらも権限が強いユーザとなっていますが、どちらのポリシーであっても「請求とコスト管理」にはアクセスできません。
こちらへのアクセスをさせたい場合は別で設定が必要になります。

ポリシーのアタッチが完了すると、グループの作成は完了です。
今回作成したグループが一覧に表示されています。

グループ追加完了.png

ユーザの作成

ユーザ追加01.png

作成するユーザ名を入力しアクセスの種類を選択します。今回はマネジメントコンソールへんアクセスをチェック。

ユーザ追加03.png

ユーザのアクセス権限を設定します。
先ほど作成したグループにユーザを追加する形で権限の設定を行います。

ユーザ追加アクセス権限.png
ユーザ追加04.pngグループ追加完了.png

公式サイト手順はこちら

AWSルートアカウント・セキュリティ対策はしっかりと!

今回作成したIAMユーザはAWSを利用する上で常時必要となるアカウントです。
AWSにはこのIAMの他にルートアカウントが存在しています。登録時に必ず作成するものです。
AWSのルートアカウントはAWSサービスに対してフル権限を持っています。
支払い関係もこのアカウントであれば操作可能。クレジットカード情報も操作可能。
そのため基本的に運用する上でこのルートアカウントは使用しません。

特に自分以外の複数人で利用する場合はrootアカウントを安易に利用できないよう注意する必要があります。
ルートアカウントのセキュリティをより高いものにするため、AWS Multi-Factor Authentication (MFA)の利用がオススメです!

簡単にいうとインターネットバンキングによくある、ワンタイムパスワードと同じような仕組みです。