まるノート

備忘録も兼ねて、様々なお役立ち情報をまとめています。

AWSアカウントとIAMユーザーの作成記録

はじめに

以下の記事で AWS とは何なのか、といったことをざっくりとまとめました。

AWS 初心者が AWS について学んだこと - まるノート

本記事はアカウント登録からIAMユーザー作成までの記録です。


アカウント登録によって作成されるユーザーはルートユーザーと呼ばれ、請求情報の閲覧やパスワードの変更が可能です。
基本的に日々の業務では使用するものではありません

通常はルートユーザでログインした後に、個別のユーザーを作成します。
このユーザーをIAMユーザーと呼びます。

あるルートユーザーに複数の IAMユーザーがぶら下がっているようなイメージですね。


アカウント登録

アカウント登録は以下のリンクから行います。
クレジットカードの登録が必要ですが

AWS Console - Signup

本人確認の認証が2回あり画面遷移は結構ありますが、主な入力事項は下記5項目です。

  • メールアドレス登録
  • パスワード設定
  • 連絡先情報の入力
  • クレジットカードの登録
  • サポートプランの選択

基本的に案内に従って進めるだけです。緑枠の項目を入力して、赤枠から次の画面に進みます。


認証コードを入力して次へ進み、パスワードの作成を行います。


連絡先情報の入力を行います、個人用途であれば「個人 - ご自身のプロジェクト向け」にチェックをします。
また、フルネームは Taro Yamada のように入力します。


クレジットカードの入力を行います。


最後にサポートプランの選択を行い完了です。どんなサポートプランでAWSを利用するかを決めます。


マネジメントコンソールへログイン

早速、作成したアカウントを使って、AWSにログインしてみます。
最初に作成したユーザーはルートユーザーです。

以下の画面から、AWSの様々なサービスを利用可能です!


IAM ユーザーの作成

次にIAM ユーザーの作成を行います。

AWS のマネジメントコンソールに IAM と入力し、「AWSリソースへのアクセスの管理」を選択します。

左部メニューの「ユーザー」→「ユーザーを追加」を選択

以下の赤枠を入力
ユーザータイプの入力項目に「Identity Center でユーザーを指定する」とありますが、
こちらは複数のAWSアカウントでIAMユーザーを統一的に管理する仕組みです。マルチアカウントでシステムを構築しない場合は関係ありません。


次の画面では以下の3つから IAMユーザーにどんな権限を付与するか決定します。

  • ユーザーをグループに追加
  • 許可のコピー
  • ポリシーを直接アタッチする

例として「ユーザーをグループに追加する」を選択した場合について記載します。

ユーザーをグループに追加

一度グループを作成しておけば、今後はユーザー毎にアクセス許可を設定する必要がなくなります。
また例えば、管理者と同等の権限をもつグループや、バックエンドエンジニアのグループ、フロントエンドエンジニアのグループというような分類分けごとに権限を整理しておくことが出来ます。


まだグループを作成していないので「グループを作成」を選択します。


好きなユーザーグループ名とポリシー名にチェックをつけます。
今回は管理者グループとして「admin」としました。グループ名はあとから変更できます。

「ポリシー名」では作成するIAMグループに好きな権限を設定することができます。
管理者用グループなので強力な権限にしましたが、※アクセス権限は基本的に利用する必要最低限のものだけ割り当てます

作成したユーザーグループが表示されているはずなので、選択して次へ進みます。

タグは後からでも作成可能です。そのまま「ユーザーの作成」を選択します。タグというのはメールアドレスや電話番号など作成する IAMユーザーに関する付加情報です。

ユーザーリストに戻ると、作成したユーザーが追加されているはずです!
今後はルートユーザーではなく、こちらのIAMユーザーを使ってログインを行ってゆきます。


補足

「ユーザーをグループに追加」以外のアクセス許可の内容は以下の通りです。

許可のコピー

アクセス権限を既存のIAMユーザーからコピーします。


ポリシーを直接アタッチする

IAMユーザーに対して個々のサービスのアクセス権限を設定します。
例えば AmazonEC2 と AmazonS3 のみを利用可能にする、といった割当てです。 ポリシーとはAWSサービスのアクセス許可の設定を表しています。


おわりに

以上、AWSアカウントとIAMユーザーの作成記録でした。
なお、ルートユーザーに関しては非常に強力な権限をもつため、パスワード以外の認証方法を追加設定することが推奨されています。
2要素以上を組合うわせて認証を行うことを多要素認証と呼びます。
※設定方法は省略します。当初はAWSアカウント作成時に最初に行う設定として多要素認証の設定方法も記載しようと思っていましたが、記事が結構長くなったので断念しました。

IAMユーザーについても、本記事では管理者権限を付与しましたので同様に多要素認証の設定を行っておくのが望ましいです。


多要素認証をはじめとする設定方法や各種AWSサービスの使い方も今後別の記事で触れてゆこうと思います。

最後まで御覧頂きありがとうございました。