やさしいIAMユーザーの作成方法

1月 10, 2019AWS,IAM_Policy関連

IAMユーザーの作成方法

なぜIAMユーザーを作るのか？

AWS上にIaas、Paasなどのサービスを構築する際に、IAMユーザーを作るべきだと思います。それでは、なぜIAMユーザーを作る必要があるのでしょうか？（僕も初めは疑問に思いました）
IAMユーザーを作る理由は、セキュリティのリスクを小さくするためです。個人でAWSのリソースを使用している範囲ならばメリットは小さいのですが、企業など組織でAWSのリソースを使用する場合にメリットが大きくなります。AWSアカウントはrootユーザーとも呼び、その名の通り、なんでも出来てしまいます。好きなだけサーバーを立ち上げ、すべてのリソースに書き込み権限でアクセスし、請求金額も見れちゃいます。組織であればトップがAWSアカウントをコントロールし、開発部門、運用部門や外部の業務委託先などそれぞれに権限の異なるユーザーを渡すべきであり、それがIAMユーザーとなります。
さらに、AWSリソースにアクセスするユーザー 1人ずつにIAMユーザーを作成します。それは、セキュリティのインシデントが発生した場合に、「誰が」「何をした」のか調査できるようにすべきだからです。ぜひIAM ユーザーにより、複数のユーザーに AWS リソースへの安全なアクセスを提供しましょう。

AWSマネジメントコンソールにアクセスする

AWSのトップページを開き、[コンソールへログイン]のボタンを押します。

AWSアカウント（rootユーザー）でログインします。まだアカウントを作成していない方は、以下の記事を参照してください。

やさしいAWSアカウントの作り方

お手軽サーバー構築　PART1 当ウェブサイトは、Amazon Lightsail 上に起動したインスタンスにWo ...

https://oji-cloud.net/2018/03/21/post-234/

IAMユーザーとグループを作成する

セキュリティ認証情報の画面が表示されます。左のメニューより、[ユーザー]をクリックします。
[ユーザーを追加]のボタンを押します。

ユーザー名を入力、アクセスの種類にプログラムによるアクセス、AWSマネジメントコンソールへのアクセスを選択、コンソールのパスワードを入力して、[次のステップ]をクリックします。

[ユーザーをグループに追加]を選択し、[グループの作成]をクリックします。

グループ名を入力し、[グループの作成]をクリックします。ポリシーの選択は後から行うこととします。

作成したグループが選択されていることを確認し、[次のステップ]をクリックします。
続いで次の画面で内容を確認し、[ユーザーの作成]をクリックします。

ユーザーが作成されました。画面に表示されたキーを控えておくか、Access key ID, Secret access keyが記載されているcsvファイルをダウンロードします。キーの取扱いには、十分注意してください。

IAMグループにアタッチするポリシーを作成する

AWSマネジメントコンソールに接続します。先ほど作成したIAMユーザーではなく、ルートユーザー（元々のAWSアカウント）を使用します。

左のメニューから[ポリシー]をクリックします。[ポリシーの作成]をクリックします。

[管理ポリシーのインプット]をクリックします。AdministratorAccessを選択し、[インポート]をクリックします。
[Preview Policy]をクリックします。

次の画面で、ポリシーに名前（以下の場合、"AWS-AdministratorAccess"）、説明を入力し、[Create policy]をクリックします。

スクロールして探してみると、作ったポリシーが見つかりました。

IAMグループにポリシーをアタッチする

続いて、先ほど作成したグループにポリシーをアタッチします。左のメニューから[グループ]をクリックして、先ほど作成したグループ（admin）を選択します。

[アクセス許可]のタブをクリックし、[ポリシーのアタッチ]を選択します。

ポリシーから先ほど作成したポリシー（AWS-AdministratorAccess）を選択します。

ポリシー（AWS-AdministratorAccess）がアタッチされました。

必要に応じて、パスワードポリシーを変更します。

マネジメントコンソールをログアウトして、IAMユーザーでログインし直します。IAMユーザーのマネジメントコンソールのURLは、先ほどダウンロードしたAccess key ID, Secret access keyが記載されているcsvファイルにも記載があります。
無事、IAMユーザーでログインできたら、以降はAWSアカウント（rootユーザー）ではなく、IAMユーザーで作業するようにしましょう。

IAMユーザーもMFAを有効に

最後に、IAMユーザーにもMFAデバイスを使用した二要素認証を忘れずに設定しましょう。

MFAを有効化する手順は、rootユーザーの手順と同じです。rootユーザーでMFAを有効化する設定は、下記の投稿で詳しく紹介しています。

AWSアカウントにMFA(二要素認証)を有効にする

AWSアカウントのMFA設定 AWSを始める前に AWSアカウントを作成したら、AWSでサーバーを作る前にやるべ ...

https://oji-cloud.net/2019/01/04/post-1655/

参考に

IAMにはIAMユーザー以外にIAMロールがあります。以下の記事が参考になります。合わせて勉強したいものです。

【AWS】IAMまとめ #AWS - Qiita

どうも、iron千葉です。IAMについて、ユーザガイドを見てポイントをまとめました。ポイントだけ確認し ...

https://qiita.com/iron-breaker/items/49669aea2d20cc26484d

IAM User / Roleとアクセス許可の設定 | DevelopersIO

渡辺です。 AWSの各サービスを最小限のリスクで運用するには、IAM(Identity and Access Management)の ...

https://dev.classmethod.jp/cloud/aws/how_to_set_permissions_...

IAM Roleを理解する - サーバーワークスエンジニアブログ

技術四課の鎌田(裕)です。 AWSの中で、IAM(Identity and Access Management)といえば、マネジメントコ ...

http://blog.serverworks.co.jp/tech/2018/02/16/understarnd_ia...

AWS,IAM_Policy関連

Posted by takaaki

はじめて描く、AWS システム構成図

AWSアカウントにMFA(二要素認証)を有効にする