ひょんな事からAWSを触る機会があり、今後も使うことが多くなりそうなのでAWSを学び始めることにしました。せっかくなので学んだことをアウトプットしていきたいと思います。
今回はAWSでIAMユーザを作成して、コンソールにログインするという内容です。AWS登録後まずはじめに行う作業になると思います。
AWS のユーザーは2種類あります
AWSのユーザーはルートユーザーとIAMで作成したユーザーの2種類です。AWSアカウントを作成した段階でルートユーザーが作成され、はじめてAWSのコンソールにログインした場合は、ルートユーザーでログインしている状態です。
ルートユーザー
AWSの全てのサービス、リソースへのアクセス権を持つ特権ユーザーで、AWSアカウントを作成した段階でルートユーザーが作成されます。
AWSアカウントの設定や、サポートプランの変更はルートユーザーで行います。
上記したAWSアカウント設定等以外のAWSの日常的な作業では、ルートユーザーは使用しないことが強く勧められています。ルートユーザーはAWSの全てのサービスやリソースへのアクセス権を持つため、ルートユーザーの情報漏えいによるセキュリティ面でのリスクであったり、意図せぬ誤操作によりトラブルが発生する可能性が高いためです。
強くお勧めしているのは、日常的なタスクには、それが管理者タスクであっても、ルートユーザーを使用しないことです。代わりに、最初の IAM ユーザーを作成するためだけに ルートユーザーを使用するというベストプラクティスに従います。その後、ルートユーザー認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。
引用 IAM とは
IAMユーザー
AWSのIAMというサービスを使用して作成したユーザーのことです。割り当てられたポリシーによって許可されたAWSのサービスを使うことができます。例えばAさんにはとあるサービスで編集、新規作成を許可する、Bさんには編集のみ許可するといった場合にそれぞれ別のポリシーを割り当てたユーザーを作成し。使用してもらうといったイメージです。
ルートユーザーの項目でも書いた通りルートユーザーはAWSの日常的な作業では使用しないため、日常的な作業はIAMユーザーを使用します。
IAMユーザーを作成する
IAMでユーザーを作成するために、AWSマネジメントコンソールでIAMサービスのページに移動します。AWSサービスのサービスの検索にIAMと入力すると画像のようにIAMがサジェストされるのでクリックしてページを移動します。
IAMのページに移動したら、サイドナビゲーションのユーザーからユーザー作成ボタンをクリックしてユーザーの作成に進みます。ユーザー作成のフローは下記の通りです。
- 詳細設定
- アクセス権の設定
- タグの設定
1. 詳細設定
詳細設定ではユーザー名、アクセス方法を設定します。まず「ユーザー詳細の設定」ではユーザー名を設定します。ユーザー名はそのままでユーザーの名前です。このユーザー名はIAMユーザーでのログイン時に必要となります。
「AWS アクセスの種類を選択」ではIAMユーザーでAWSにアクセスする種類を選択します。アクセスの種類はプログラムによるアクセスと、AWS マネジメントコンソールへのアクセスの2種類あり、前者はプログラムからアクセスする場合に、後者はブラウザからAWS マネジメントコンソールを使用してアクセスする場合にチェックします。
AWS マネジメントコンソールを選択した場合はパスワードの設定を行います。パスワードの生成には自動、カスタムの2種類の方法を選べます。
「パスワードのリセットが必要」の項目にチェックを入れると、初回ログイン後にパスワードを変更する必要があります。これは例えばチームでAWSを運用し、IAMユーザーのをメンバーに割り当てるといった使い方をするかと思います。自分のためにユーザーを作成する場合にはチェックは不要です。
2. アクセス権の設定
「アクセス許可の設定」ではユーザーにどのポリシーをアタッチするかの設定を行います。作成するユーザーに何ができるのかの設定で方法は3種類あります。
- ユーザーをグループに追加
- ポリシーをアタッチしているグループに追加します。グループを作成している必要があります。
- アクセス権限を既存のユーザーからコピー
- 既存のユーザーと同じポリシーをアタッチします。既存ユーザーが存在している必要があります。
- 既存のポリシーを直接アタッチ
- AWSがあらかじめ用意してくれているポリシーをアタッチします
3. タグの設定
ユーザーにタグを設定することでユーザーのアクセスを整理、追跡、または制御することができます。不要の場合は入力は不要です。
1〜3まで進めたあとは入力内容を確認してユーザーを作成を完了します。完了画面ではユーザー情報の記載されているcsvがダウンロードできるので必ずダウンロードしておきましょう。
IAMユーザーでAWSにログインする
IAMユーザーを作成したあとはIAMユーザーでログインします。IAMユーザーのログインページは別のURLになるので、IAMコンソールのダッシュボードから「IAM ユーザーのサインインリンク」を確認してください。サインインリンクはアカウントIDで自動的に作成されますが、IDの箇所を任意のURLに変更することができます。サインインリンクを変更する場合はカスタマイズをクリックして任意のリンクを設定します。
サインインリンクに移動し、ユーザー名とパスワードでログインします。アカウント名は自動的に入力されるので変更する必要がありません。ルートユーザーでログインしたままIAMユーザーのサインインリンクに移動した場合、ルートユーザーは自動的にログアウトします。
ルートアカウントでログインしたい場合は、ルートアカウント認証情報を使用してサインインからログインします。