【はじめてのAWS】管理用IAMユーザーを作成しよう

今回は、弊社のYouTubeチャンネル「サーバーワークスチャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。

動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、動画も参照頂ければと思います。

内容が良かった、為になったと感じたら是非Goodボタンやチャンネル登録頂けると嬉しいです。

対象者

・AWSをこれからはじめたい方
・AWSをもっと活用したい方
・AWS IAMユーザーおよびグループ作成の設定イメージを把握したい方

IAM ユーザーの利用に関するベストプラクティスのおさらい

IAMユーザーの利用に関しては以下がベストプラクティスとなります。当動画ではそれに従い実際にマネジメントコンソールから、ルートユーザーとは別のIAMユーザーの作成を行っていきます。

ルートユーザーは普段使いしない
AWSを利用する人ごとにIAMユーザーを作成し、IAMユーザーを使ってアクセスする

参考: IAMでのセキュリティのベストプラクティス - 個々の IAMユーザーの作成
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html#create-iam-users

IAM グループのおさらい

IAMグループとは、IAMユーザーの集合となります。
(ごく一般的なOSのユーザーを束ねるグループに近い概念となります)

IAMグループの作成およびセキュリティ権限の設定を行うだけで、そのグループに所属する複数のIAMユーザーに適用されるため権限管理を簡略化できます。

例えばIAMグループ全体の変更を一度にできますし、人事異動があった際もIAMユーザーの所属するIAMグループを変更するだけで対応が完了します。自組織や運用を考慮のうえ、IAMグループを活用した権限管理について検討してみてください。

参考: IAMグループ
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_groups.html

MFAの設定について

AWSアカウントのルートユーザーと各IAMユーザーに対してMFAを有効にすることが可能で、セキュリティを向上させるためにも設定が推奨されています。

当動画では、仮想MFAの設定例として別途スマートフォンにインストールした「Google Authenticator」というアプリケーション(ソフトウェアトークン)を利用し設定を行っていきます。
(こちらは、各自お好みのアプリケーションをご選択頂ければ問題ありません)

参考: AWSでの多要素認証(MFA)の使用
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa.html

参考: 仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール)
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html

管理用 IAMグループおよびIAMユーザーの作成デモ(動画内 02:30〜)

概要の説明に加え、実際にAWSマネジメントコンソールから Identity and Access Management(IAM) の画面にて以下手順に従った実際の操作デモを動画内で紹介しています。

管理用 IAMグループを作成
作成したIAMグループに所属するIAMユーザーを作成
作成したユーザーでのサインインを確認
1. IAMユーザーのパスワード再設定
2. MFAの設定

管理者視点で、ざっくりとIAMグループやIAMユーザー作成に関する設定イメージを掴んで頂ける内容となっておりますで、もし興味があれば動画を参照ください。

まとめ

管理者としてAWSアカウントを作成した際には、ルートユーザーは普段使いせずに管理用のIAMユーザーは別途作成しましょう。その際には運用を考慮し、IAMグループに所属させる形での権限管理を検討してみてください。また動画内でも紹介しておりますが、セキュリティ保護の為に各IAMユーザーにはMFAを設定しましょう。