IAMユーザ(ユーザーアカウント)を作成する

概要
実際の運用では、ルートアカウントを使用して運用するのではなく、ルートとは別のユーザーアカウントを作成し、そのユーザーを使用して運用する。IAMユーザには、用途ごとに細かい設定ができるため、複数人で、役割を分けて運用することができる。 また、もし仮にIAMユーザーが乗っ取られたとしても、ルートアカウントからユーザの削除、権限の剥奪等も用意にできるため、セキュリティ面でも都合がいい。
ユーザーの作成
- ルートアカウントでログイン
- 「Service」からIAMを選択
- 左ペインから「Users」を選択し、[Add User]をクリック
- 以下を設定する
- User Name
任意のユーザ名 - Access type
- Programmatic access
AWS API、 CLI(コマンドライン)、SDKを使用する場合はチェックを入れる。 - AWS Management Console access
AWSマネジメントコンソールへのログインを許可する場合はチェックを入れる。
今回は、これが目的でIAMユーザを作成しているので、チェックは入れておく。
この項目にチェックを入れると、追加で以下の画面が表示される。
- Programmatic access
- Console password
「Autogenerated password」でパスワードを自動生成、「Custom password」で任意のパスワードを設定することができる。 - Require password reset
ここでチェックを入れると、ここで作成したユーザで初めてログインした際に、パスワードの変更を要求される。
なので、Console passwordで、「Custom password」を選択し、任意のパスワードを設定したとしても、
初回ログイン時にパスワード変更を求められるので、注意。
- User Name
必要箇所の入力が完了すれば、[Next: Permissions]ボタンがアクティブになるので、クリックして次へ。
ユーザ権限を設定する。
アクセス権限を持ったユーザグループを新たに作成し、そのグループにユーザを追加することとします。
他には、ユーザに直接アクセス権限を設定する方法がありますが、ここでは前者で。
- [create group]をクリック
- 以下を設定する
- Group name
ここでは、ほぼなんでもできる権限を持つグループを作成するので、「管理者グループ」など、わかりやすい名前にしておきましょう。 - Plicy type
AdministratorAccessにチェックを入れる。
- Group name
- [Create group]をクリック
- 作成したグループにチェックが入っていることを確認し、[Next:Review]をクリック
確認
確認画面が表示されるので、問題なければ[Create user]をクリックして、ユーザー作成完了。
晴れてIAMユーザが作成されました。 この画面に、今回作成したユーザでのログイン方法があるので、確認しましょう。
- アクセスURL
今回、作成したユーザでログインするには、このURLでログインします。
この画面でURLをクリックしてもログイン画面に遷移できますが、このURLをクリックすると、
ルートアカウントをサインアウトしてから、本ユーザでのログイン画面に遷移するので、
この画面から得られる情報をもう少し確認してからにしましょう。 - csvファイルのダウンロード
この画面に記載されている情報を持つ、csvファイルをダウンロードできます。
あると便利なので、ダウンロードしておくことをお薦めしますが、ダウンロード後は他の人からは見えない場所に格納してください。
ちなみにこんな感じのcsvファイルです。User name,Password,Access key ID,Secret access key,Console login link user_admin_account,k+TA_uvR}R*u,,,https://147767813698.signin.aws.amazon.com/console
※解説用に中身さらしてますが、皆さんはネット上にさらすのはやめましょう。
- ユーザ名
ログイン時に必要なユーザ名です。 - パスワード
このキャプチャではパスワードは見えていませんが、showをクリックするとパスワードが見れます。
2でダウンロードできるcsvファイル内にも記載されていますが、csvファイルをダウンロードしない人は、ここでメモります。
IAMユーザでログイン
では、上記1のURLをクリック or ダウンロードしたcsvファイルに記載されている、
Console login linkのURLからログイン画面に遷移します。
- アカウント
URLから遷移した場合は、自動で入力されています。 - ユーザ名
ダウンロードしたcsvファイルに記載されているuser_nameを入力 - パスワード
ダウンロードしたcsvファイルに記載されているPasswordを入力
ユーザ作成時に、Require password resetを設定した場合は、パスワードの変更を求められます。
パスワードの変更が完了すれば、作成したIAMユーザでログインすることができます。