【AWS】IAMユーザの作成手順を分かりやすく解説【初学者向け】

AWS

【はじめに】

  • AWSの学習をしているが、「IAM」って何?
  • AWS無料枠でIAMを操作してみたい

今回はAWS初学者の方に向けて、IAMユーザの作成手順を分かりやすく解説していきます。

※AWS無料枠の範囲内で操作できるので、この機会にIAMの基本を押さえてしまいましょう。

本記事の内容

  • なぜIAMユーザを作成するのか?
  • IAMが提供する機能とは?
  • ユーザとグループ
  • 実際にIAMユーザを作成する

【なぜIAMユーザを作成するのか?】

AWSのサービスを利用するには、まずリソースを管理するためにAWSアカウントを作成する必要があります。
AWSアカウントを作成することで、アカウントごとに独立した環境が用意されます。
併せて、ルートユーザが自動的に作成されます。
ルートユーザはAWSアカウントに関連するすべてのサービスを操作できる権限を持っているため、通常は必要な権限のみに制限したユーザを作成して、開発などを行う必要があるのです。

IAM(Identity and Access Management)はAWSのリソースへのアクセスを安全に管理するための仕組み提供し、その仕組みを使用して作成したユーザをIAMユーザといいます。

【IAMが提供する機能とは?】

IAMは大きく二つの機能を提供しています。

  • 認証
  • 認可

認証

認証とは、AWSに対してこれから利用するユーザが「誰なのか」を伝えることです。
ユーザIDパスワードをログイン情報として入力することで、AWSマネジメントコンソールにログインすることができます。

認可

認可とは、AWSのユーザがどの機能を使えるのか(権限)を管理して許可することです。
例えば、「管理者ユーザではサーバの作成・削除ができるが、一般ユーザではサーバを作成することができない」といった権限の範囲を区別することができます。

【ユーザとグループ】

IAMではユーザごとにアクセス権限を設定できますが、ユーザが増えるとユーザごとに権限を設定するのが大変になり権限の設定漏れといった問題が起こりかねません。
その場合、IAMグループを作成してグループに所属しているユーザに一括して権限を設定します。

【実際にIAMユーザを作成する】

今回はIAMユーザとグループを作成し、グループに権限設定を行いユーザを追加します。
作成手順を図に表すとこのような感じです。

手順1:IAMダッシュボードで「ユーザーの追加」を行う

  • ルートユーザでログインします。
  • 管理コンソールの検索バーで「IAM」と入力してIAMを選択します。
  • IAMのダッシュボードを開きます。
  • 画面左の「アクセス管理」→「ユーザー」をクリックし、画面右上の[ユーザーを追加]をクリックします。

Image from Gyazo

Image from Gyazo

Image from Gyazo

手順2:ユーザ詳細の設定

  • 「ユーザーを追加」画面の「ユーザー詳細の設定」で、作成するIAMユーザの情報を入力していきます。
  • 「AWSアクセスの種類の選択」では、「AWSマネジメントコンソールへのアクセス」を選択します。
  • 「コンソールのパスワード」は「自動生成パスワード」を選択します。
  • 「パスワードのリセットが必要」のチェックを外します。

Image from Gyazo

  • [次のステップ:アクセス権限]では、何も設定せず[次のステップ:タグ]に進みます。

Image from Gyazo

  • 「タグの追加(オプション)」ではタグを追加せずに[次のステップ:確認]に進みます。

Image from Gyazo

  • 最後に、入力した内容の確認を行います。間違いがなければ[ユーザーの作成を]クリックします。

Image from Gyazo

  • ユーザーの作成が完了したら、「.csvのダウンロード」からユーザ情報(パスワードを含む)をダウンロードします。

Image from Gyazo

  • IAMのダッシュボード画面に戻ると、ユーザが作成されていることが確認できます。

Image from Gyazo

ポイント

アクセス権限を設定していないため、「このユーザーにはアクセス権限がありません」と表示されています。

この後、グループの作成でアクセス権限を設定するため、現時点ではこのままユーザー作成を行います。

手順3:IAMダッシュボードで「新しいグループの作成」を行う

先ほど作成したIAMユーザは、今のままではAWSのサービスにアクセスする権限が一切ありません。
アクセス権限を設定するために、「IAMグループ」を作成します。

  • ルートユーザでログインした状態で、IAMのダッシュボードを開きます。
  • 画面左の「アクセス管理」→「User Groups」をクリックし、画面右上の[新しいグループの作成]をクリックします。

Image from Gyazo

  • グループ名を入力します。どのような役割を持っているか分かりやすい名前にします。

手順4:グループにユーザを追加

  • グループ名を入力したら、グループに追加するユーザを選択します。

Image from Gyazo

手順5:グループに許可ポリシーをアタッチ

  • 「許可ポリシーの添付(オプション)」でグループにアクセス権限を設定します。
  • 今回は「PowerUserAccess」と「IAMFullAccess」を指定します。

Image from Gyazo

Image from Gyazo

  • ポリシーを指定したら、[グループの作成]をクリックします。
  • IAMのダッシュボード画面に戻ると、グループが作成されていることが確認できます。

Image from Gyazo

ポイント

  • 「PowerUserAccess」は、AWS内のリソースへの全アクセス権限を持ちます。
  • 「IAMFullAccess」は、IAMに関する全アクセス権限を持ちます。
  • いずれもアカウントそのものの解約などはできないので、ルートユーザより安全な権限です。
  • ポリシーにはAWS管理のポリシーカスタムポリシーインラインポリシーがあります。

手順6:IAMユーザのパスワードポリシーを設定

IAMユーザに対しての簡単に解読されないように、パスワードの内容や有効期限を設定します。

  • ルートユーザでログインした状態で、IAMのダッシュボードを開きます。
  • 画面左の「アクセス管理」→「アカウント設定」をクリックし、[パスワードポリシーを変更する]をクリックします。

Image from Gyazo

  • 今回は「1つ以上の英大文字、小文字、数字、英数字以外の文字の混在で10桁以上」と指定します。
  • 条件を指定したら、[変更の保存]をクリックします。

Image from Gyazo

  • IAMのダッシュボードに戻ると、パスワードポリシーが変更されているのが確認できます。

Image from Gyazo

【さいごに】

今回は、IAMユーザの作成方法を解説しました。

最も重要なサービスですが理解するのが難しいサービスだと思います。
ユーザに対して正しくアクセス権限を設定するには、実際にIAMを操作することが大事です。

AWSの無料枠でまずはIAMの基本を押さえることで、慣れていきましょう。

【参考】

AWS IAM(ユーザーアクセスと暗号化キーの管理)| AWS
AWS Identity and Access Management (IAM) を使用すると、AWS のサービスやリソースにアクセスできるユーザーやグループを指定し、きめ細かいアクセス許可を一元管理し、アクセスを分析して AWS 全体でアクセス許可を改善することができます。
aws.amazon.com

コメント

タイトルとURLをコピーしました