はじめに
IAMユーザーとIAMユーザーグループを学ぶ機会があったため、概要から作成手順までまとめました。
IAMユーザーとは
IAMユーザーとは、AWSを使用する人に発行するユーザーです。
ポリシーを付与することで、行動に制限をかけることができます。
ルートユーザーとの違い
AWSを操作できる意味では一緒ですが、ルートユーザーの方が権限が大きいため、操作できる幅が広いです。
(詳細は、以下のURLから飛んでみてください。)
作成手順
- IAMユーザーグループの作成
- IAMユーザーの作成
- IAMユーザーでログインし、MFA(2段階認証)を有効にする
IAMユーザーに直接ポリシーを付与することも可能です。
ただ、グループを先に作成後、グループにポリシーを付与して、ユーザーを紐づけるのが一般的と言われています。
1. IAMユーザーグループの作成
IAMユーザーグループとは
IAMユーザーグループとは、IAMユーザーをグルーピングしたものです。
ユーザーグループを使用すると、複数のユーザーに対してアクセス許可を指定でき、それらのユーザーのアクセス許可を容易に管理することができます。
作成
まず、IAMのコンソールへ移動する。
次に、サイドバーにある「User groups」を押して、User groups画面へ移動する。
上記画像の右上にある「Create group」ボタンを押して、Create user group画面へ移動する。
上記画面で、それぞれ以下の設定を行う。
Name the group
グループ名を決める。任意の値で問題ないが、役割が明確になる名前が相応しい。
(例:管理者のグループであれば、「Administrators」など)
Add users to the group - Optional
グループに所属するIAMユーザーを選択する。
既にユーザーがいれば選択しても問題ないが、IAMユーザー作成時に既存のユーザーグループに割り当てることも可能。
Attach permissions policies - Optional
グループに相応しいポリシーを設定する。
ここは、条件によって変わるため、その時々の条件に沿ってポリシーを選択するのが良い。
主には、以下の2つが多いイメージ
- 管理者の職務機能:AdministratorAccess
- 読み取り専用アクセス:ReadOnlyAccess
設定が終われば、「Create group」を押して、作成完了。
2. IAMユーザーの作成
サイドバーにある「Users」を押して、Users画面へ移動する。
上記画像の右上にある「Add users」ボタンを押して、Add user画面へ移動する。
あとは、画面の順番に沿って、設定を行なっていく。
Step1
以下をそれぞれ設定する
Set user details
IAMユーザーの名前を設定する。
「Add another user」を押すと、複数のユーザーを設定することができる。
Select AWS access type
AWSへのアクセス方法を以下2つから選択する。(両方を選択することも可能。)
- Access key - Programmatic access
- Password - AWS Management Console access
Access Key や Passwordで自動生成パスワードを選択していた場合、ユーザーを作成し終わった後に提供される。
個人的には、Access Keyは後でも作成できるため、Passwordを設定することが多い。
設定できたら、「Next: Permissions」ボタンを押す。
Step2
「Add user to group」で、先程作成したユーザーグループに追加するように設定する。
(「Attach existing policies directly」などで、直接ポリシーを設定することも可能。)
チェックを入れたら、「Next: Tags」ボタンを押す。
Step3
タグを設定する。
設定できたら、「Next: Review」を押す。
Step4
最後に、今まで設定したのに間違いがないか、しっかり確認する。
問題なければ、「Create user」ボタンを押す。
Step5
作成されたユーザー情報が、画面に表示される。
ここで、Step1でアクセスキーや自動生成パスワードを選択していれば、表示される。
シークレットキーに関しては、後で確認することができないため、しっかり管理しておきましょう。
3. IAMユーザーでログインし、MFA(2段階認証)を有効にする
作成したIAMユーザーのセキュリティを高めるために、2段階認証が必須とされている。
(設定していなくても、ログインは可能。)
まず、Userの画面へいき、設定を行いたいユーザー名をクリックする。
「Sumry」画面の、「Security credentials」タブを押す。
「Assigned MFA device」の「Manage」を押すと、モーダルが表示される。
今回はアプリのAuthyを使用したいため、「Virtual MFA device」を選択して、「Continue」ボタンを押す。
※ Authyの使い方は省略するが、以下が公式HPになるため、要確認。
AuthyでQRコードを読み込み、発行されるMFA code(6桁の数字)を2回入力する。
2回MFA codeを入力できたら、「Assign MFA」ボタンを押して、2段階認証が登録される。
これで、次回からログインする際に、MFA codeが求められるようになる。
注意点
アクセスキーとシークレットキーの管理には、注意しましょう!
漏洩すると、以下のことが想定されます。
- 迷惑メールの送信
- 多額の利用費請求
- 情報漏洩 ・・・など
特に権限が大きいルートユーザーのアクセスキーなどが漏洩すると、大変なことになるので、アカウントのセキュリティはしっかりしましょう。
IAMユーザーのアクセスキーが漏洩されたとしても、そのIAMユーザーのポリシーが、読み取り専用などであれば、被害はそこまで大きく出ません。
ただ何かあるかはわからないため、管理はしっかりしておきましょう。
まとめ
IAMユーザーやグループは、今までなんとなくでしか触っていなかったですが、かなり奥が深いことがわかりました。
引き続き、アウトプットは継続していこうと思います。
記事をご覧いただき、ありがとうございました。