ネットワークエンジニアが学ぶAWS

ネットワーク構築のインフラSEがAWSについて学んでいく過程を記事にしていきます!

AWSアカウント作成初日にやるべきこと②(管理者権限ユーザの作成)

約 5 分
AWSアカウント作成初日にやるべきこと②(管理者権限ユーザの作成)

今回はAWSアカウント作成初日にやるべきこととして、「管理者権限ユーザの作成」を行います。

AWS作成初日にやるべきこと
① MFAの有効化 → 詳しく知りたい方はこちら
② 管理者権限ユーザの作成
③ cloudtrailで操作ログの取得
④ 無料利用枠の超過アラート設定

AWSのルートアカウントは、自分のAWSクラウド環境のどこにでもアクセスできる強力な権限を持っており、AWSのアカウント削除も可能です。Amazonは、誤った操作をして大変なことにならないように、必要な場合を除いてルートユーザでサインインしないようにすることを推奨しています。そのため、ルートユーザの代わりになる強い権限を持った管理者権限ユーザを作ります。このユーザでAWSを操作するようにして、ルートユーザではなるべくサインインしないようにしましょう。(ユーザの考え方について確認したい方はこちら

IAMユーザとIAMグループ

AWSでは、自分のクラウド環境を操作するユーザを複数作成することができます。このユーザのことを「IAMユーザ」と呼び、ユーザごとにクラウド環境内をどこまで操作できるかの権限を決めます。この操作権限は、IAMユーザを「IAMグループ」に所属さえることで決めていきます。IAMグループとは、IAMユーザが所属する組織のようなものです。イメージとしては、中学や高校の部活が近いです。学生はどの部活に所属するかで、取り組む種目やルールが違いますよね。男子の野球部であれば、当然野球の練習をするでしょうし髪型を坊主にしなければいけないところもあると思います。IAMグループはこの部活のようなもので、所属しているIAMユーザの操作できる範囲を指定することができます。
AWSにおけるIAMユーザとIAMグループの関係

今回の管理者権限ユーザを作る際にも同じで

① IAMユーザを作成
②「管理者権限を持つIAMグループ」に所属させる

の手順で強い権限を持ったユーザを作成します。それでは、実際にIAMユーザを作ってみましょう。

管理者権限ユーザの作成手順

まずは、こちらからルートユーザとしてIAMコンソールにサインインします。メールアドレスとパスワードを使用してサインインしてください。(MFA認証を有効にしている場合はそれも認証します)
AWSマネジメントコンソール画面へのサインイン(メールアドレス入力画面) AWSマネジメントコンソール画面へのサインイン(ルートユーザーサインイン画面)

『IAMマネジメントコンソール』に移動するので、左側に表示されるメニューの中から、[ユーザ]タブに移動して[ユーザを追加] をクリックします。
IAMダッシュボード画面からIAMユーザ管理画面へ移動
IAMユーザの追加操作『ユーザ詳細の設定』ページに移動するので、下記の通りに入力して[次のステップ:アクセス権限]をクリックします。

入力項目
・ユーザ名:(自分で決めたユーザ名を入力してください)
・AWS マネジメントコンソールへのアクセス: ☑
・カスタムパスワード: (自分で決めたパスワードを入力してください)
・パスワードのリセットが必要:□(デフォルトはチェックが入っているのでオフに)

IAMユーザ作成画面(AWSアクセス権限の設定)

『アクセス許可の設定』ページに移動するので、[ユーザをグループに追加] が選ばれていることを確認して[グループの作成] をクリックします。
IAMユーザ作成画面(IADグループ管理権画面)

『グループの作成』ダイアログボックスで、下記の通りに入力して[グループの作成] をクリックします。

入力項目
・グループ名:Administrators(自由にご設定いただいて問題ないです)
・ポリシー名[AdministratorAccess]:☑

『アクセス許可の設定』ページに戻るので、作成した「Administrators」のグループに☑が入っていることを確認して、[次のステップ:タグ]をクリックします。※グループに何も表示されない場合には、 [更新] をクリックして再度確認してください。
『タグの追加(オプション)』画面に移るので、何も入力せずに[次のステップ:確認] をクリックします。
IAMユーザ作成画面(タグ設定画面)
『確認』画面に移るので、内容を再度確認して[ユーザの作成] をクリックします。
IAMユーザ作成画面(設定確認)

ユーザの作成に成功すると、『成功』と表示される画面に移ります。[.csvのダウンロード] をクリックして、自分自身のPCなど安全な場所にファイルを保存しておきます。※作成したユーザに関する認証情報は、この画面でしか確認することができません。必ずcsvファイルはダウンロードして保存しておきましょう。
作成したIAMユーザは、「https://<AWSカウントID>.signin.aws.amazon.com/console」の個別に与えられたURLからアクセスします。”②”の部分をクリックします。
IAMユーザ作成画面(IAMユーザ作成完了&AWSサインインURL表示)
『IAMユーザでのサインイン画面』に移るので、作成したユーザID及びパスワードでサインインします。
IAMユーザによるAWSサインイン画面

『AWSマネジメントコンソール画面』右上のIDを確認して、作成したユーザ名でサインインしていることを確認します。
IAMユーザでのサインイン時のAWSマネジメントコンソール試しに『請求』画面に移ってみましょう。[アクセス権限が必要です。]と表示されて情報が見れない状態になっています。これはルートアカウント以外の場合、請求情報を見ることができない設定になっているためです。※ルートアカウントでしか見れない情報はこちらでAmazonがまとめています。
IAMユーザでサインイン時の請求ダッシュボード

【任意】作成したユーザーに関してもセキュリティをしっかりしたい場合には、MFA認証を有効にしてください。(MFA認証の有効化手順はこちら
次回以降にAWSを使う際には、必要な場合を除いてルートアカウントは使用せず、今回作成したユーザでAWSを操作するようにしましょう。

エンジニア向けの資産形成情報を発信中!

将来にお金を残していくための情報発信をしています。友だち登録をしてくださった方には、資産形成の記事を閲覧するためのパスワードもお教えてしてますので、気になる方は下記から登録お願いします(^^)
AWSの資格を取りたい方向けに僕が合格した過去問レポートもプレゼントしています!

友だち追加

About The Author

カワタン
3年半インフラエンジニアとしてネットワーク運用/構築に携わってきましたカワタンです^_^AWSのことを知ってから、このサービスが大好きになって現在猛勉強中です(*^^*)
AWS専門家になって月収150万目指してます!!!
Follow :

Leave A Reply

*
*
* (公開されません)