Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@hugo584

入社3年目、業務以外の知識がない自分がGWを捧げてサービス・アプリケーションを勉強してみた!〜2日目AWS:IAMユーザ作成・後編〜

Posted at

はじめに

前記事(https://qiita.com/hugo-crt/items/40c4bcb883c74085e539)
の続きです。

今回は実際の作業者ユーザである、IAMユーザを作成します。
一度作り方を覚えてしまえば、最低限責任範囲の切り分けができて
基本的なセキュリティ対策を講じていますといえますね。

どうやら巷ではIAMって最初の方に勉強するけど、細部をチューニングしていくにつれ沼にハマっていく、
実はかなり高度なサービスであると聞いたことがありますが、これはまた別のお話。
我々初学者は基本的なところから知っていけばいいんです。

IAM:IAMグループの作成

グループ作成の方法を学びます。
なぜユーザ作成ではなくグループなのかというと、
端的に権限やポリシーの設定が楽になるからです。
下の画像を見てください。
この画像では管理者(Admins)・開発者(Developers)・テスター(Test)の3グループに分かれています。
役割によって必要な設定をグループに与えてしまえば、その役割に沿って必要な制限事項が勝手に付与されるのです。
大規模なプロジェクトの場合、数十、数百のユーザに対して各種設定を一人一人割り振るのは大変です。
なので、役割ごとに作業範囲を均一に設定することで、ユーザ作成の負担を軽減できます。
iam-intro-users-and-groups.diagram.png

ではまずはグループを作成していきましょう。

  • 毎度おなじみ、コンソールに rootユーザー でログインしてIAMを検索します。
  • ダッシュボードの画面左上、ユーザーグループをクリックします。
    スクリーンショット 2022-04-30 11.50.11.png

 - 画面右上のグループの作成をクリックします。
スクリーンショット 2022-04-30 11.53.28.png

  • ユーザグループ名を付けましょう。
    スクリーンショット 2022-04-30 11.54.12.png

  • 設定画面を下にスクロールするとアクセス許可ポリシーが設定できる項目にたどり着くので、検索窓で「administrator」と入力して「AdministratorAccess」のチェックボックスにチェックを入れたら画面右下のグループの作成をクリックします。
    ちなみにポリシー名をクリックすると、そのポリシーのアクセス権限の状態が確認できます。
    今回は割愛します。是非見てみてください。
    スクリーンショット 2022-04-30 11.54.26.png
    スクリーンショット 2022-04-30 11.54.58.png

  • グループの作成が完了すると以下の画面に遷移します。

  • 画面左の「ユーザー」をクリックして、ユーザー作成に移りましょう。
    スクリーンショット 2022-04-30 11.56.01.png

IAM:IAMユーザーの作成

  • 画面右側の「ユーザーを追加」をクリックします。
    スクリーンショット 2022-04-30 11.56.15.png

  • ユーザ名を入力します。

  • アクセスの種類の選択は、今回は全てにチェックを入れます。
    スクリーンショット 2022-04-30 11.57.06.png

  • 今回はカスタムパスワードを設定し、パスワードのリセットは不要としました。

  • 画面右下の「次のステップ:アクセス権限」をクリックします。
    スクリーンショット 2022-04-30 11.58.44.png

  • 先ほど設定したグループにユーザを追加します。

  • グループ名右のチェックボックスにチェックを入れて、画面右下の「次のステップ:タグ」をクリックします。
    スクリーンショット 2022-04-30 11.58.54.png

  • ここはユーザを特定するための情報をタグとして設定します。

  • 今回はお試しでメールアドレスを入力しました。

  • 入力が終わったら画面右下の「次のステップ:確認」をクリックします。
    スクリーンショット 2022-04-30 12.00.02.png

  • 入力情報が間違っていないか確認します。
    ここまできたらユーザ作成はほぼ完了です。

  • 問題がなければ画面右下の「ユーザーの作成」をクリックします。
    スクリーンショット 2022-04-30 12.00.16.png

ユーザーが作成されましたね。
しかしこのままではMFAデバイスの割り当てがされていないので設定しましょう。

  • 作成したユーザをクリックします。
    スクリーンショット 2022-04-30 12.01.20.png

  • 遷移された画面の中にある「認証情報」タブをクリックし、「MFAデバイスの割り当て」の「管理」をクリックして設定すると以下の画面になります。
    設定方法は前回の記事で説明したので割愛します。

  • 後ほどIAMユーザとしてログインする際に便利な裏技があるので、
    コンソールのサインインリンクをコピーしておきます。
    右側にあるコピーのアイコンをクリックします。
    スクリーンショット 2022-04-30 12.03.18.png

  • 今回作成したユーザは管理者権限をポリシーで付与したので、請求情報へアクセスできるよう設定します。

  • 画面右上のIAMユーザ→アカウントをクリックします。
    スクリーンショット 2022-04-30 12.03.55.png

  • 遷移した画面を下にスクロールし、IAMユーザー/ロールによる請求情報へのアクセスの項目で、右にある「編集」をクリックします。

  • IAMアクセスのアクティブ化にチェックを入れ、更新します。

  • これにてユーザ作成完了です。次は実際にIAMユーザとしてサインインしてみましょう。
    スクリーンショット 2022-04-30 12.04.32.png
    スクリーンショット 2022-04-30 12.04.40.png

  • rootユーザをログアウトし、再度コンソールにサインインします。
    スクリーンショット 2022-04-30 12.05.05.png

  • 先ほどIAMユーザのサインイン時に便利な裏技のためコピーした文字列を入力窓にペーストします。
    スクリーンショット 2022-04-30 12.05.21.png

  • すると既にユーザ名とパスワードが入力された状態で認証画面に飛びました。

  • 各自確認してほしいのですが、先ほどの裏技を入力しないと、メールアドレスやパスワードなど、
    一つずつ認証していくのでめんどくさそうでした。

  • 未入力の項目を埋めてMFA認証して終了です。
    スクリーンショット 2022-04-30 13.49.31.png
    スクリーンショット 2022-04-30 12.10.46.png
    スクリーンショット 2022-04-30 12.11.19.png

最後に

GW中は雨予報が多く、友人もそこまではしゃいでないから勉強に集中できるなと思った矢先、
本日快晴で外出したくなりました。

座りっぱなしも体に悪いことだし、散歩しながら勉強したことを思い返してリフレッシュしようかな。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?