IAMユーザを作ろう

この記事でできること

  • IAMユーザの作成
  • IAMユーザでのログイン

はじめに

「rootユーザ」は強権限中の強権限なので、
AWSのベストプラクティスとして「基本使わない」となっています。

日常のタスクには root ユーザーを使用しないことを強くお勧めします。
代わりに、ルート ユーザーのみを使用して最初の IAM ユーザーを作成するというベスト プラクティスに従ってください。

AWS アカウントのルート ユーザー

その代わりに、管理者権限を付与したIAMユーザを利用して、
AWSのセッティングをしていくことがまず第一歩となります。

ちょっと寄り道

それではIAMユーザを作成していきましょう!

IAMユーザの作成

IAMユーザの作成そのものは非常に簡単です。
(IAMの真骨頂は権限管理ですので)

それでは以下の通りに進めてみてください!

IAMユーザ作成画面 呼び出し

「IAM」と検索窓に入力し、IAMコンソールを開きます。

IAMサービスをクリック

ダッシュボード左の「ユーザー」をクリック

IAMダッシュボードからユーザーをクリック

(画面右の)「ユーザーを追加」をクリック

IAMユーザーを追加

IAMの詳細設定

以下のとおりに設定し、「次のステップ:アクセス権限」をクリック。
ユーザー名
  任意(私はDevAdminにしてみました)
AWS認証情報タイプを選択
  パスワード・AWSマネジメントコンソールへのアクセス
コンソールのパスワード
  カスタムパスワード(自動パスワードでも問題なし)
パスワードのリセットが必要
  チェックを外す(カスタムパスワードなら外すほうが良い)

IAMユーザー詳細設定

「既存のポリシーを直接アタッチ」を選択し、
「AdministratorAccess」にチェックを入れ、「次のステップ:タグ」をクリック

IAMユーザーへポリシーをアタッチ

何もせずに「次のステップ:確認」をクリック
(説明文を参考に必要に応じてタグを付与)

IAMユーザへのタグ付与

何もせずに「ユーザーの作成」をクリック

IAMユーザーの作成

以下のように「成功」が表示されればIAMユーザの作成は完了です!

IAMユーザー追加の成功

IAMユーザでのログイン

それでは、作成したIAMユーザでログインできるか、
試してみましょう!

コンソール右上のユーザ右にある「▼」をクリックしてメニューを開き、
アカウントIDをコピー後、サインアウト。
(❐をクリックでコピーできます)

アカウントIDコピー

サインイン画面に戻り「IAMユーザー」を選択し、
コピーしたアカウントIDを貼り付けし、「次へ」をクリック。

IAMユーザーでのログイン

設定した「(IAMの)ユーザ名」と「パスワード」を入力して、
「サインイン」をクリック

IAMユーザでのログイン

コンソールのホームが表示されれば、IAMユーザでのログイン成功です!

IAMユーザでのログイン成功

いかがでしたか?
非常に簡単だったかと思います。
が、IAMの真骨頂はアクセス権の管理ですので、
それはまた別の機会のご紹介できればいいなと考えています。

お疲れさまでした!

以下は補足となります。
興味のある方だけ、ご覧下さいませ。

補足1 アタッチするポリシーのタイプについて

結論としては特に気にする必要はなく和訳がイケてない、、
というものになりそうです。

既存のポリシーをアタッチする際にタイプについて気になりませんでしたか?

既存IAMポリシーのタイプ

「ジョブ機能」とはなんぞや。。。
ジョブと書かれてしまうと、バッチ処理等を想像する人も多いかと思いますが、
「ポリシーのフィルター」の文言より、この「ジョブ機能」というのも
「AWSによる管理ポリシー」の模様です。

IAMポリシータイプの詳細表示

さらに、英語表示にしてみると・・・
ジョブ機能:Job functionの模様です。

IAMポリシータイプの詳細表示(英語)

回りくどくなりましたが、
functionはそれ単体で「役割」とか「職務」という意味がありますので、
「job」は素直に「仕事」や「業務」と考えて、
「業務上の役割」とか、単に「職務」という意味で捉えるのがよさそうです。

そして同じような疑問を持つ方がいらっしゃいました。

IAMポリシーの管理画面で出てくる「AWS管理のジョブ機能」って何!?

「職務(Job)機能(function)」と訳すのか。なるほど。
なお、AWSドキュメントには以下のように記述されています。

AWSジョブ機能の 管理ポリシーは、IT 業界の一般的なジョブ機能
密接に連携するように設計されています。
これらのポリシーを使用すると、特定のジョブ機能を持つ人によるタスクの実行に
必要な権限を簡単に付与することができます。

AWSジョブ機能の 管理ポリシー

上記引用はAWSドキュメントから機械的に引用したものです。
このジョブ機能」を「職務」と読み替えてみてください。
意味が通ると思います。

ちなみに上記引用元によると、
AWSは以下の「職務」を想定してポリシーを用意しているようです。

・管理者
・請求
・データベース管理者
・データサイエンティスト
・開発者パワーユーザー
・ネットワーク管理者
・読み取り専用アクセス
・セキュリティ監査
・Supportユーザ
・システム管理者
・閲覧専用ユーザー

また、「管理者」と「システム管理者」ですが、
システム管理者は文字通り、システム(AWSサービス)を利用する上で必要な権限のパッケージであって、
「管理者」ほど強い権限は持っていないようです。

AWSの資格試験もそうですが、機械翻訳なので意味が壊滅的になる場合がある。。。
どうにかならないかなぁ。。。

-最初にやること, IAM