はじめに
IAMユーザーの作成とMFAの設定方法について、自分用のメモを兼ねて記載しておきます。
※本記事は2025年1月時点での手順となります。
前提
・IAMユーザの作成権限があること
・スマートフォンなどのデバイスにAuthenticatorのアプリがインストールされていること
IAMユーザーの作成方法
IMAユーザーの作成権限のあるアカウント(rootユーザーなど)でAWSのマネジメントコンソールにログインし、検索窓で「IAM」と検索してください。
※大文字、小文字でもどちらでも検索可能です
検索すると以下の画面が出てくるので、「IAM」をクリックします
ダッシュボードから「ユーザー」を選択し「ユーザーの作成」を押下します。
画面が変わりますので以下の項目を実施します。
・任意のユーザー名を入力
・「AWS マネジメントコンソールへのユーザーアクセスを提供する」にチェックを入れる
・「IAM ユーザーを作成します」を選択
・パスワードは自動生成またはカスタムの好きなほうを選択
※カスタムの場合は下記に記載されているパスワードルールに則したパスワードの設定が必要になります。
・「ユーザーは次回のサインイン時に新しいパスワードを作成する必要があります」へのチェックは任意ですが、ユーザーログイン時にパスワードを再設定する方法がAWSの推奨となります。
すべての項目で入力・選択が完了したら「次へ」を押下します。
「許可を設定」画面に変わるので、本記事では「ポリシーを直接アタッチする」を選択します。
ここで設定するのは作成するIAMユーザーの権限範囲となります。
IAMユーザーにアタッチするポリシーを選択します。ここではadministrator権限を付与します。
※付与する権限については可能な限り必要最小限にすることが望ましいです。
「AdministratorAccess」左のチェックボックスにチェックを入れ、右下にある「次へ」を押下します。
「確認して作成」の画面に変わるので、内容確認し問題なければ右下のユーザーの作成を押下します。
「ユーザー」の画面に切り替わりますので、作成したIAMユーザーが作成されていることを確認してください。
IAMユーザーの作成は以上になります。
続いてIAMユーザにMFA認証の設定を行います。
MFA認証の設定方法
「ユーザー」の画面から対象のIAMユーザー名をクリックします。
「セキュリティ認証情報」タブをクリックし、「多要素認証(MFA)」のフィールドの「MFAデバイスの割り当て」を押下します。
以下の画面が出てくるのでデバイス名を入力します。
ここで入力したデバイス名がスマートフォン側にも表示されます。
ここでは使用するMFAデバイスで「認証アプリケーション」を選択し右下の「次へ」を押下します。
※この記事では、スマートフォン側のアプリはMicrosoft社の「Authenticator」を使用する手順になります。
デバイスの設定画面になります。
「Authenticator」を使用している場合は、アプリを起動し右上の「+」を押してアカウント追加(個人・企業)を選択するとQRコードの読み取り画面が表示されますので、AWSマネジメントコンソールの「QRコードを表示」をクリックし表示されるQRコードを読み取ります。
Authenticatorのアプリにユーザーが追加されますので、30秒毎に更新される6桁のコードを入力します。(初回登録時は2回)
まとめ
IAM ユーザーの作成手順は難しくありませんが、付与する権限の範囲などについては注意する必要があります。
また、セキュリティ向上のため、 MFA(多要素認証)を有効化することを推奨します。