作成するユーザの情報
やり方を比べるために、GUIとCUIで同じことをします。
- GUIで作成
- ユーザグループ : test-user-group01
- ユーザ名 : test-user01
- パスワード : test-user-pass-01
- 新しいパスワード : test-user-pass-01-new
- アタッチするロール : AmazonEC2ReadOnlyAccess
- CUIで作成
- ユーザグループ : test-user-group02
- ユーザ名 : test-user02
- パスワード : test-user-pass-02
- 新しいパスワード : test-user-pass-02-new
- アタッチするロール : AmazonEC2ReadOnlyAccess
目次
- ユーザグループを作成
- ユーザを作成
- グループにポリシーをアタッチ
- ログイン
ユーザグループを作成
GUI
- ユーザグループを作成
- ユーザグループ名を指定
- ユーザグループの作成完了
CUI
- ユーザグループを作成
aws iam create-group --group-name test-user-group02
{
"Group": {
"Path": "/",
"GroupName": "test-user-group02",
"GroupId": "XXXXXXXXXXXXXXXXXXXX",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:group/test-user-group02",
"CreateDate": "2021-07-05T11:33:18+00:00"
}
}
- ユーザグループ作成完了
ユーザを作成
GUI
- ユーザを作成
- ユーザの詳細
- グループに追加
- タグ
タグはなし
- 最終確認
- ユーザ作成完了
CUI
- ユーザを作成
aws iam create-user --user-name test-user02
{
"User": {
"Path": "/",
"UserName": "test-user02",
"UserId": "XXXXXXXXXXXXXXXXXXX",
"Arn": "arn:aws:iam::XXXXXXXXXXXX:user/test-user02",
"CreateDate": "2021-07-05T11:47:34+00:00"
}
}
- グループに追加
aws iam add-user-to-group --user-name test-user02 --group-name test-user-group02
- ログイン情報の追加
--user-name ユーザ名
--password パスワード
--password-reset-required パスワードのリセットが必要
aws iam create-login-profile --user-name test-user02 --password test-user-pass-02 --password-reset-required
{
"LoginProfile": {
"UserName": "test-user02",
"CreateDate": "2021-07-05T12:02:54+00:00",
"PasswordResetRequired": true
}
}
- ユーザに直接 IAMUserChangePassword をアタッチ
IAMUserChangePassword を追加しないと、ログイン後にパスワードが変更できず、以下のようなエラーになります。
aws iam attach-user-policy --user-name test-user02 --policy-arn arn:aws:iam::aws:policy/IAMUserChangePassword
- アクセスキーとシークレットキーの作成
aws iam create-access-key --user-name test-user02
{
"AccessKey": {
"UserName": "test-user02",
"AccessKeyId": "アクセスキー",
"Status": "Active",
"SecretAccessKey": "シークレットキー",
"CreateDate": "2021-07-05T12:05:08+00:00"
}
}
グループにポリシーをアタッチ
GUI
- ユーザグループの編集
- ポリシーをアタッチ
- アタッチ完了
CUI
- ポリシーをアタッチ
AmazonEC2ReadOnlyAccess のARNは arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess です
aws iam attach-group-policy --group-name test-user-group02 --policy-arn arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess
- アタッチ完了
ログイン
test-user01(GUIで作成した方)
- ログイン画面
- パスワード変更画面
- ログイン完了
test-user02(CLIで作成したほう)
- ログイン画面
- パスワード変更画面
- ログイン完了
削除
削除の際は以下を削除する
- IAM > ユーザ > test-user01
- IAM > ユーザ > test-user02
勉強後イメージ
ほぼ初めてIAMをcliで作ってみたけど、見比べながらしてたらそんなに難しくはないかも。
ただ、GUIからだと IAMUserChangePassword は自動的に付与してくれるけど、 CLIはそんなことないから躓きそうだなーって感じ。