こんにちは、Ryoです。
今回は、【AWS初心者向け】アカウントを作成した直後にやること-まとめ- のシリーズ第二回、管理用IAMの作成について解説していきます。
前回は、ルートユーザにMFAの設定をしました。今回はそれに続き、管理用のIAMユーザの作成をします。
それでは内容に入っていきます。
IAMユーザの作成って必要なの?ルートアカウントを使えばいいじゃん
そもそも最強の権限を持つルートアカウントがあるんだから、それを使えば利用に不便はないはず。。。と考えれば、どうして管理用のユーザをもう一つ作らなければならないのか。既に利用している方にはIAMユーザで操作をするのは当たり前かもしれませんが、その性質の違いについておさらいしておきましょう。
一般的にAWSだけでなくユーザ管理が必要なサービスは、ユーザに権限を設定し利用します。例えば、Linuxのrootユーザ、WindowsのAdministratorユーザなどと同様、ポリシーで縛られない最強のユーザがルートユーザとなります。どうしてもルートアカウントでなければ操作ができないもの意外の通常の利用であれば、権限を絞ったユーザを作成して利用します。AWSにおいてルートアカウントでなければできない操作については別記事にて紹介します。
ルートアカウントが通常利用でないことはわかった。じゃIAMってなに…?
前回の記事でも少しだけ登場したIAM(アイアムと読むことが多い)です。これはAWSのサービス名称で、Identity and Access Managementの略称です。AWSで利用するユーザ、グループ、アクセスポリシーの作成と管理を担うサービスとなります。
adminという名前の管理用IAMユーザを作ろう
ではさっそく作ります。今回作成するのはadminユーザですが、今後同じ管理者権限を持った別のユーザを追加するときのために、管理者権限を持つグループを作成します。
下記のような完成図を目指します。
Admin Group の作成
ログイン後、IAMサービスメニューを開きます。(開き方はこちら)
左メニューの「グループ」をクリックし、「新しいグループの作成」をクリックします。
作成するグループ名を入力し「次のステップ」をクリックします。
ポリシーをアタッチします。ポリシーというのがグループに付与したい権限となります。今回は管理者権限を与えたいので AdministratorAccess にチェックをつけて「次のステップ」をクリックします。
グループ名とポリシーを確認して「グループの作成」をクリックします。
管理者権限(AdministratorAccess)を持っているグループ(adminGroup)が作成できました。
adminUser の作成
続いて、管理者権限グループにユーザを追加します。先に作成したグループにユーザを追加した結果、グループが持っている管理者権限を持つことができます。
メニューの「ユーザー」をクリックし「ユーザーを追加」をクリックします。
ユーザー名を入力します。
アクセスの種類は「AWSマネジメントコンソールへのアクセス」にチェックを入れます。ここでは「プログラムによるアクセス」はチェックしません。
チェックを入れるとパスワードの設定画面が現れます。カスタムパスワードを選択し、パスワードを入力します。「パスワードのリセットが必要」をクリックすると、次回ログイン時にパスワード変更画面が現れます。今回は不要なのでチェックを入れずに「次のステップ:アクセス権限」をクリックします。
「ユーザーをグループに追加」を選び、先ほど作成したグループにチェックを入れ「次のステップ:タグ」をクリックします。
タグは今回追加しないので「次のステップ:確認」をクリックします。
追加したユーザー名、アクセス権限、パスワード等の設定内容を確認し「ユーザーの作成」をクリックします。
正常にユーザーが作成できました。
以上で、ユーザー作成は終わりです。
と、ここで気付いた方もいるかもしれませんが、今作成したユーザーにはMFAが設定されていません。ここで前回紹介したMFAの設定をしておきましょう。
設定が全て終わったらログアウトし、今作成したユーザでログイン確認をします。
まとめ
管理者権限を持ったグループの作成、グループにポリシーの付与、管理者ユーザの作成ができました。これでルートユーザはもう使わなくてもある程度AWSを操作することが可能となります。
実際にAWSで開発を行ったり運用保守を行う場合には更に厳しい権限を与えたユーザを作る必要があります。実行する権限を考慮した設計についても別の記事で紹介できればと思います。
以上です。
コメント