UKey's Labo

IAMユーザ(ユーザーアカウント)を作成する

概要

実際の運用では、ルートアカウントを使用して運用するのではなく、ルートとは別のユーザーアカウントを作成し、そのユーザーを使用して運用する。IAMユーザには、用途ごとに細かい設定ができるため、複数人で、役割を分けて運用することができる。 また、もし仮にIAMユーザーが乗っ取られたとしても、ルートアカウントからユーザの削除、権限の剥奪等も用意にできるため、セキュリティ面でも都合がいい。

ユーザーの作成

  1. ルートアカウントでログイン
  2. 「Service」からIAMを選択
  3. 左ペインから「Users」を選択し、[Add User]をクリック
  4. 以下を設定する

    • User Name
      任意のユーザ名
    • Access type
      • Programmatic access
        AWS API、 CLI(コマンドライン)、SDKを使用する場合はチェックを入れる。
      • AWS Management Console access
        AWSマネジメントコンソールへのログインを許可する場合はチェックを入れる。
        今回は、これが目的でIAMユーザを作成しているので、チェックは入れておく。
        この項目にチェックを入れると、追加で以下の画面が表示される。

    • Console password
      「Autogenerated password」でパスワードを自動生成、「Custom password」で任意のパスワードを設定することができる。
    • Require password reset
      ここでチェックを入れると、ここで作成したユーザで初めてログインした際に、パスワードの変更を要求される。
      なので、Console passwordで、「Custom password」を選択し、任意のパスワードを設定したとしても、
      初回ログイン時にパスワード変更を求められるので、注意。

必要箇所の入力が完了すれば、[Next: Permissions]ボタンがアクティブになるので、クリックして次へ。

ユーザ権限を設定する。

アクセス権限を持ったユーザグループを新たに作成し、そのグループにユーザを追加することとします。
他には、ユーザに直接アクセス権限を設定する方法がありますが、ここでは前者で。

  1. [create group]をクリック
  2. 以下を設定する
    • Group name
      ここでは、ほぼなんでもできる権限を持つグループを作成するので、「管理者グループ」など、わかりやすい名前にしておきましょう。
    • Plicy type
      AdministratorAccessにチェックを入れる。
  3. [Create group]をクリック
  4. 作成したグループにチェックが入っていることを確認し、[Next:Review]をクリック

確認

確認画面が表示されるので、問題なければ[Create user]をクリックして、ユーザー作成完了。

晴れてIAMユーザが作成されました。 この画面に、今回作成したユーザでのログイン方法があるので、確認しましょう。

  1. アクセスURL
     今回、作成したユーザでログインするには、このURLでログインします。
     この画面でURLをクリックしてもログイン画面に遷移できますが、このURLをクリックすると、
     ルートアカウントをサインアウトしてから、本ユーザでのログイン画面に遷移するので、
     この画面から得られる情報をもう少し確認してからにしましょう。
  2. csvファイルのダウンロード
     この画面に記載されている情報を持つ、csvファイルをダウンロードできます。
     あると便利なので、ダウンロードしておくことをお薦めしますが、ダウンロード後は他の人からは見えない場所に格納してください。
     ちなみにこんな感じのcsvファイルです。

    User name,Password,Access key ID,Secret access key,Console login link
    user_admin_account,k+TA_uvR}R*u,,,https://147767813698.signin.aws.amazon.com/console
    

    ※解説用に中身さらしてますが、皆さんはネット上にさらすのはやめましょう。

  3. ユーザ名
    ログイン時に必要なユーザ名です。
  4. パスワード
    このキャプチャではパスワードは見えていませんが、showをクリックするとパスワードが見れます。
    2でダウンロードできるcsvファイル内にも記載されていますが、csvファイルをダウンロードしない人は、ここでメモります。

IAMユーザでログイン

では、上記1のURLをクリック or ダウンロードしたcsvファイルに記載されている、
Console login linkのURLからログイン画面に遷移します。

ユーザ作成時に、Require password resetを設定した場合は、パスワードの変更を求められます。

パスワードの変更が完了すれば、作成したIAMユーザでログインすることができます。