はじめに
AWSのアカウントを作成するとルートユーザーが作成されるが、ルートユーザは全権限を持つユーザーになるため
アカウントの変更や解約などもできてしまうため、権限を制限したIAMユーザーを作成する。
Identity and Access Management (IAM) では、AWS のサービスやリソースへのアクセスを安全に管理できます。IAM を使用すると、AWS のユーザーとグループを作成および管理し、アクセス権を使用して AWS リソースへのアクセスを許可および拒否できます。
IAM は追加料金なしで AWS アカウントに提供されている機能です。料金は、お客様のユーザーが使用した他の AWS サービスに対してのみ発生します。(AWSより引用)
それでは作成していきましょう。
IAMユーザーの作成①
まずはルートユーザーでAWSマネジメントコンソールにログインします。
サービスをクリックするとAWSのサービスの一覧が表示されます。多いですね。
IAMをクリックします。
IAMのページに移動できました。
ユーザーをクリックします。
次にユーザーを追加をクリックします。
IAMユーザーの作成②
ユーザー名を入力します。次にアクセスの種類を選択しましょう。
今回はAWSマネジメントコンソールへのアクセスを選択してみます。
そうするとコンソールのパスワードの設定が表示されます。
今回はカスタムパスワードで入力。パスワードのリセットが必要のチェックを外します。
自分でないユーザーがアクセスするIAMユーザーを作成する場合は自動生成パスワード、パスワードのリセットが必要にして
その人が自分でパスワードを設定できるようにします。
この画面でアスセス許可の設定をしていきます。
今回は既存のポリシーを直接アタッチを選択します。
これはAWSが用意したアクセス設定です。
その中でも今回は
アクセス権限の強いAdministratorAccessを選択します。
、AdministratorAccess ジョブ関数は、AWS の各サービスおよびリソースへのフルアクセスを許可し、アクセス許可の委任が可能です。このポリシーは、アカウント管理者のみに使用することをお勧めします。(AWSより引用)
AWS管理ポリシー
| 管理ポリシー名 | 職務機能 | ユースケース |
|---|---|---|
| AdministratorAccess | 管理者 | このユーザーはフルアクセスが許可され、AWS のあらゆるサービスおよびリソースにアクセス許可を委任できます。 |
| Billing | 請求職務 | このユーザーは請求情報の確認、支払いの設定、支払いの承認を行う必要があります。ユーザーは、AWS のサービス全体の累計されたコストをモニタリングできます。 |
| DatabaseAdministrator | データベース管理者 | このユーザーは AWS クラウドのデータベースのセットアップ、設定、メンテナンスを行います。 |
| DataScientist | データサイエンティスト | このユーザーは Hadoop ジョブおよびクエリを実行します。このユーザーは、データ分析やビジネスインテリジェンス用の情報にアクセスして分析も行います。 |
| PowerUserAccess | デベロッパーパワーユーザー | このユーザーはアプリケーション開発タスクを実行し、AWS 対応アプリケーションの開発をサポートするリソースとサービスを作成および設定できます。 |
| NetworkAdministrator | ネットワーク管理者 | このユーザーは AWS; ネットワークリソースの設定とメンテナンスを担当します。 |
| ReadOnlyAccess | 読み取り専用 | このユーザーは、AWS アカウント内のすべてのリソースへの読み取り専用アクセス権が必要です。 |
| SecurityAudit | セキュリティ監査 | このユーザーはセキュリティ要件の遵守についてアカウントをモニタリングします。このユーザーは、潜在的なセキュリティ侵害や悪意のある行為を調査するためのログおよびイベントにアクセスできます。 |
| SupportUser | ユーザーのサポート | このユーザーは AWS サポートに連絡し、サポートケースを作成して、既存のケースの状態を確認します。 |
| SystemAdministrator | システム管理者 | このユーザーは開発運用リソースのセットアップおよびメンテナンスを行います。 |
| ViewOnlyAccess | 表示専用 | このユーザーは、すべてのサービスにわたるアカウントの AWS リソースや基本のメタデータのリストを表示できます。このユーザーは、クォータを超えるリソースコンテンツやメタデータを読み取ることや、リソース情報をリスト表示することはできません。 |
次に進むとタグの追加とありますが今回はスキップします。
最後に確認画面が表示されます。
問題なければユーザーの作成をクリックします。
IAMユーザーが作成されました。
ログイン画面でユーザー名とパスワード名を入力してログインします。
ログインできました。