【AWS】IAM ユーザー&ユーザーグループの作成手順

IAM ユーザーの作成手順

1. AWSアカウント（ルートユーザー）にログイン
2. ユーザーのアカウント情報の設定
3. アクセス権限の追加
4. タグ追加と確認
5. IAMユーザーのアカウントにログイン

※ アカウントに既存のIAMユーザーが1つもない状態を想定しています。
※ すでにIAMユーザー作成の権限を持つユーザーが他に存在すれば、そちらでログインも可。

1. AWSアカウント（ルートユーザー）にログイン

1. まず、ルートユーザーとしてログインします。（途中でセキュリティチェックがあると思います。
   
   
   
2. ログイン後の画面で、右上にルートユーザーのアカウント名（変更していない場合はメアド）が表示されている状態ならOK。
   今回私はルートユーザーであることが分かりやすい様に命名してあります。
3. 画面上部の検索窓で検索して、IAMのマネジメントコンソールに移動。
   
4. 「ユーザー（サイドバー）＞　ユーザーを追加」の順でクリックし、ユーザー作成画面に移動。
   ※ここから画面が一部英語で説明してあります。
   

2. ユーザーのアカウント情報の設定

追加するユーザーのユーザー名とパスワードを決めます。

1. 「ユーザー名」を入力（同時に複数ユーザーの追加も可能）。
2. 「AWS 認証情報タイプを選択*」で「パスワード - AWS マネジメントコンソールへのアクセス」を選択。
   これは今回、作成するユーザーの使用者が人間であるということを想定しているためです。）
3. 「コンソールのパスワード」で「カスタムパスワード」を選択し、仮のパスワードを決めます。
   自動生成でもいいですが、次の「パスワードのリセットが必要」にチェックを入れる場合、初回ログイン時に入力した後すぐに変更が求められるため、カスタムの方がわかりやすい。
4. 「パスワードのリセットが必要」をチェック。ここは、ユーザーの作成者（今回でいうログイン中のルートユーザー）と、新規作成されたユーザーの使用者が異なる場合は、チェックした方が無難。
5. 「次のステップ」をクリック。
   

3. アクセス権限の追加

ユーザーのアクセス権限を決めます。（ユーザーがAWS上で許可される操作の定義）

1. 今回はユーザーグループも同時に作成したいので、「ユーザーをグループに追加」を選択し、「グループ作成」をクリック。
   ユーザーグループは、複数のユーザーに同一の権限を割り当てるためのグループ。
   ユーザごとに権限を分ける場合は、「既存のポリシーを直接アタッチ」でも可。
   

1. グループ名を決めます。
2. 必要な権限を検索（あるいはポリシーの作成）をして、このユーザーグループに割り当てます。今回私はアドミン権限を付与するので、AWSがデフォルトで用意してくれているアドミン権限「AdministratorAccess」を選択します。
3. 「グループ作成」をクリック。
   

4. タグ追加と確認

1. 必要に応じてタグを追加し、次へ。
   
2. 入力情報に誤りがないか確認します。
   「アクセス権限の概要」では、選択したユーザーグループ（あるいはポリシー）に加え、「IAMUserChangePassword」が自動で付与されます。
   この「IAMUserChangePassword」は、ユーザーが自分でパスワード変更することが可能にする権限で、最初の方(2-4)で「パスワードのリセットが必要」にチェックを入れたため自動的に付与されました。
3. 「ユーザーの作成」をクリック。
   
4. .csvは念の為ダウンロードすることをおすすめします。前で定義した「ユーザー名」と、コンソールにログインするためのURLが記述されています。
   前のステップで自動生成パスワードを選んでいた場合は「パスワード」も記述されています。
5. 今回作成したユーザーが作成者以外の場合「Eメールの送信」から、その人宛にメールを送ってもいいです。（自分の場合、なぜか送信できませんでした。）
6. 今回作成したIAMユーザーのログイン用URL（csvの内のものと同じ）が緑枠内に載っています。次のステップで使います。
   

5. IAMユーザーのアカウントにログイン

1. 先程のURLにアクセス。

2. もしURLがわからなくなってしまった場合は、一旦IAMのマネジメントコンソールに戻ります。「ユーザー＞追加したユーザー名」の順にクリックし、「認証情報」タブを開くと、コンソールURLが載っています。
   
   

3. アクセスすると3つフィールドがあり、一つ目は先程まで使用していたルートユーザーのAWSアカウントのID（12桁）で、先程のURLにこの番号が含まれているため自動的に入力されます。続いて、前のステップで指定したユーザー名とパスワードを入力してサインイン。
   

4. 必須ではありませんが、アカウントID12桁は覚えにくいので、アカウントエイリアス（番号12桁の代わりになる文字列）を設定しておくおことをおすすめします。
   →【AWS】アカウントエイリアスとは？IAMで作成する手順を紹介

5. 一つ前の画面で入力したものと同じパスワード（古いパスワード）を入力し、続いて「新しいパスワード」を設定します。
   

6. ログインすると画面右上に、「ユーザー名@アカウント番号（エイリアス）」が表示されれば完了です！
   

よければ、こちらもあわせてお読みください。