【はじめに】
- AWSの学習をしているが、「IAM」って何?
- AWS無料枠でIAMを操作してみたい
今回はAWS初学者の方に向けて、IAMユーザの作成手順を分かりやすく解説していきます。
※AWS無料枠の範囲内で操作できるので、この機会にIAMの基本を押さえてしまいましょう。
本記事の内容
- なぜIAMユーザを作成するのか?
- IAMが提供する機能とは?
- ユーザとグループ
- 実際にIAMユーザを作成する
【なぜIAMユーザを作成するのか?】
AWSのサービスを利用するには、まずリソースを管理するためにAWSアカウントを作成する必要があります。
AWSアカウントを作成することで、アカウントごとに独立した環境が用意されます。
併せて、ルートユーザが自動的に作成されます。
ルートユーザはAWSアカウントに関連するすべてのサービスを操作できる権限を持っているため、通常は必要な権限のみに制限したユーザを作成して、開発などを行う必要があります。
IAM(Identity and Access Management)はAWSのリソースへのアクセスを安全に管理するための仕組み提供し、その仕組みを使用して作成したユーザをIAMユーザといいます。
【IAMが提供する機能とは?】
IAMは大きく二つの機能を提供しています。
- 認証
- 認可
認証
認証とは、AWSに対してこれから利用するユーザが「誰なのか」を伝えることです。
ユーザIDとパスワードをログイン情報として入力することで、AWSマネジメントコンソールにログインすることができます。
認可
認可とは、AWSのユーザがどの機能を使えるのか(権限)を管理して許可することです。
例えば、「管理者ユーザではサーバの作成・削除ができるが、一般ユーザではサーバを作成することができない」といった権限の範囲を区別することができます。
【ユーザとグループ】
IAMではユーザごとにアクセス権限を設定できますが、ユーザが増えるとユーザごとに権限を設定するのが大変になり権限の設定漏れといった問題が起こりかねません。
その場合、IAMグループを作成してグループに所属しているユーザに一括して権限を設定します。
【実際にIAMユーザを作成する】
今回はIAMユーザとグループを作成し、グループに権限設定を行いユーザを追加します。
作成手順を図に表すとこのような感じです。
手順1:IAMダッシュボードで「ユーザーの追加」を行う
- ルートユーザでログインします。
- 管理コンソールの検索バーで「IAM」と入力してIAMを選択します。
- IAMのダッシュボードを開きます。
- 画面左の「アクセス管理」→「ユーザー」をクリックし、画面右上の[ユーザーを追加]をクリックします。
手順2:ユーザ詳細の設定
- 「ユーザーを追加」画面の「ユーザー詳細の設定」で、作成するIAMユーザの情報を入力していきます。
- 「AWSアクセスの種類の選択」では、「AWSマネジメントコンソールへのアクセス」を選択します。
- 「コンソールのパスワード」は「自動生成パスワード」を選択します。
- 「パスワードのリセットが必要」のチェックを外します。
- [次のステップ:アクセス権限]では、何も設定せず[次のステップ:タグ]に進みます。
- 「タグの追加(オプション)」ではタグを追加せずに[次のステップ:確認]に進みます。
- 最後に、入力した内容の確認を行います。間違いがなければ[ユーザーの作成を]クリックします。
- ユーザーの作成が完了したら、「.csvのダウンロード」からユーザ情報(パスワードを含む)をダウンロードします。
- IAMのダッシュボード画面に戻ると、ユーザが作成されていることが確認できます。
ポイント
アクセス権限を設定していないため、「このユーザーにはアクセス権限がありません」と表示されています。
この後、グループの作成でアクセス権限を設定するため、現時点ではこのままユーザー作成を行います。
手順3:IAMダッシュボードで「新しいグループの作成」を行う
先ほど作成したIAMユーザは、今のままではAWSのサービスにアクセスする権限が一切ありません。
アクセス権限を設定するために、「IAMグループ」を作成します。
- ルートユーザでログインした状態で、IAMのダッシュボードを開きます。
- 画面左の「アクセス管理」→「User Groups」をクリックし、画面右上の[新しいグループの作成]をクリックします。
- グループ名を入力します。どのような役割を持っているか分かりやすい名前にします。
手順4:グループにユーザを追加
- グループ名を入力したら、グループに追加するユーザを選択します。
手順5:グループに許可ポリシーをアタッチ
- 「許可ポリシーの添付(オプション)」でグループにアクセス権限を設定します。
- 今回は「PowerUserAccess」と「IAMFullAccess」を指定します。
- ポリシーを指定したら、[グループの作成]をクリックします。
- IAMのダッシュボード画面に戻ると、グループが作成されていることが確認できます。
ポイント
- 「PowerUserAccess」は、AWS内のリソースへの全アクセス権限を持ちます。
- 「IAMFullAccess」は、IAMに関する全アクセス権限を持ちます。
- いずれもアカウントそのものの解約などはできないので、ルートユーザより安全な権限です。
- ポリシーにはAWS管理のポリシー、カスタムポリシー、インラインポリシーがあります。
手順6:IAMユーザのパスワードポリシーを設定
IAMユーザに対しての簡単に解読されないように、パスワードの内容や有効期限を設定します。
- ルートユーザでログインした状態で、IAMのダッシュボードを開きます。
- 画面左の「アクセス管理」→「アカウント設定」をクリックし、[パスワードポリシーを変更する]をクリックします。
- 今回は「1つ以上の英大文字、小文字、数字、英数字以外の文字の混在で10桁以上」と指定します。
- 条件を指定したら、[変更の保存]をクリックします。
- IAMのダッシュボードに戻ると、パスワードポリシーが変更されているのが確認できます。
【さいごに】
今回は、IAMユーザの作成方法を解説しました。
最も重要なサービスですが理解するのが難しいサービスだと思います。
ユーザに対して正しくアクセス権限を設定するには、実際にIAMを操作することが大事です。
AWSの無料枠でまずはIAMの基本を押さえることで慣れていきましょう。
【参考】