はじめに
今回は個人用でAWSアカウントを作成した直後にまずやるべきことの一つである、「adminユーザーの作成」手順をまとめてみました。
こちらの記事を参考にさせていただきました。
新規awsアカウント(rootユーザー)の作成手順からMFA設定までも解説されているため、ぜひ参考にしてみてください。
なぜadminユーザーを作成する必要があるのか
awsアカウントを作成後にadminユーザーを作る理由は、ルートユーザーを守るため(使わないため) です。
AWSアカウント作成時に作られるルートユーザーは以下の特徴があります:
- 全サービス・全リソースに対して無制限アクセス
- IAM制御の対象外(ポリシーで制限できない)
- アカウント削除・支払い変更なども可能
つまり、言葉どおり「最強すぎる」権限をもっています。
・普段の使用の範囲内では、そこまで強い権限は必要ない
・万が一侵害された場合の被害を限定する
といった理由から、セキュリティの基本原則である「最小権限」を付与したユーザーを作成して運用していくことが推奨されています。
こんなときにルートユーザーを使用する
ルートユーザーは以下のような「ルートユーザーでしか操作できない」場合のみ使用します。
・支払い情報の変更
・アカウント設定変更
・サポートプラン変更
・その他一部の特殊操作
そのため、基本的にはadminユーザーを使用していくことになります。
adminユーザーを作成する
※すでにAWSアカウント(rootユーザー)は作成済みである前提で進めていきます。
AWSコンソールにアクセスし、画面左上の検索窓からIAMで検索します。
IAMのダッシュボード画面に遷移したら、画面左のサイドメニューバーから、ユーザーグループを選択します。
画面右上のユーザーグループを作成ボタンを押します。
①ユーザーグループ名を設定します(今回は'admin'にしました)
②許可ポリシーにAdministratorAccessを選択します
③ユーザーグループを作成を押します
ポリシーに関してはぜひこちらの記事をご参照ください。
ユーザーグループが作成されました。
次に画面左のサイドメニューバーから、ユーザーを選択します。
画面右上のユーザーの作成ボタンを押します。
①ユーザー名を設定します(今回は'{個人名}-admin'にしました)
②AWS マネジメントコンソールへのユーザーアクセスを提供するにチェックを入れます
③カスタムパスワードを設定します(なるべく複雑なものが推奨されます)
④(自分以外が使用する場合は、4にもチェックを入れます)
⑤次へを押します
①ユーザーをグループに追加を選択します
②先ほど作成したadminグループにチェックを入れます
③次へを押します
内容確認画面に遷移するので、内容に問題なければユーザーの作成を押します。
これでadminユーザーの作成が完了です。
rootユーザーからサインアウトし、今後は基本adminユーザーでサインインして運用していきます。
追加でやっておきたいこと
①エイリアスの設定
サインインする際に、Account ID or aliasを入力することになると思います。
Account IDを覚えるのが大変な場合は、
IAM > ダッシュボード 画面の右側AWS アカウントの欄から設定するこができます。
②adminユーザーのMFA有効化
①と同様、IAM > ダッシュボード 画面に遷移したときに、以下のようなセキュリティに関するレコメンデーション表示がでていることに気づいたかと思います。
そこで、MFA を追加を押し、以降は画面の指示に従って設定します。
