IAM の準備作業 - AWS Identity and Access Management
AWS アカウントへのサインアップ管理ユーザーの作成最小特権アクセス許可に備える

IAM の準備作業

重要

IAM ベストプラクティスでは、長期的な認証情報を持つIAMユーザーを使用するのではなく、一時的な認証情報を使用して AWS にアクセスするために、IDプロバイダーとのフェデレーションを使用することを人間ユーザーに求めることを推奨します。

AWS Identity and Access Management (IAM) により、Amazon Web Services (AWS) およびアカウントリソースへのアクセスを安全に管理することができます。IAM では、サインイン認証情報をプライベートに保持することもできます。IAM を使用するため、特別にサインアップしません。IAM の使用は無料です。

ユーザーやロールなどの ID に対し、アカウントのリソースに対するアクセス権を付与するには、IAM を使用します。例えば、AWS の外部で管理している社内ディレクトリの既存のユーザーに対し IAM を使用することや、AWS IAM Identity Center を使用して AWS 内にユーザーを作成することが考えられます。フェデレーション ID は、定義済の IAM ロールを引き受け、必要なリソースにアクセスします。IAM アイデンティティセンターの詳細については、「AWS IAM Identity Center ユーザーガイド」の「What is IAM Identity Center?」(IAM アイデンティティセンターとは) を参照してください。

注記

IAM は複数の AWS 製品と統合されています。IAM をサポートするサービスのリストについては、「IAM と連携する AWS のサービス」を参照してください。

トピック

AWS アカウントへのサインアップ

AWS アカウントがない場合は、以下のステップを実行して作成します。

AWS アカウント にサインアップするには

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを使用して検証コードを入力するように求められます。

    AWS アカウントにサインアップすると、AWS アカウントのルートユーザーが作成されます。ルートユーザーには、アカウントのすべての AWS のサービスとリソースへのアクセス権があります。セキュリティのベストプラクティスとして、管理ユーザーに管理アクセスを割り当てルートユーザーアクセスが必要なタスクを実行する場合にのみ、ルートユーザーを使用してください。

サインアップ処理が完了すると、AWS からユーザーに確認メールが送信されます。https://aws.amazon.com/アカウント をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

管理ユーザーの作成

AWS アカウント にサインアップしたら、AWS アカウントのルートユーザー をセキュリティで保護し、AWS IAM Identity Center を有効にして管理ユーザーを作成します。日常的なタスクには、管理ユーザーを使用し、ルートユーザーを使用しないようにします。

AWS アカウントのルートユーザーをセキュリティで保護する

  1. ルートユーザー を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、「AWS サインイン User Guide」の「Signing in as the root user」を参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、「IAM ユーザーガイド」の「AWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。

管理ユーザーを作成する

  1. IAM アイデンティティセンターを有効にします。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Center の有効化」を参照してください。

  2. IAM アイデンティティセンターで、管理ユーザーに管理アクセス権を付与します。

    IAM アイデンティティセンターディレクトリ をアイデンティティソースとして使用するチュートリアルについては、「AWS IAM Identity Center ユーザーガイド」の「IAM アイデンティティセンターディレクトリ デフォルトでのユーザーアクセスの設定」を参照してください。

管理ユーザーとしてサインインする

  • IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

    IAM アイデンティティセンターのユーザーを使用してサインインする方法については、「AWS サインイン ユーザーガイド」の「AWS アクセスポータルにサインイン」を参照してください。

最小特権アクセス許可に備える

最小特権のアクセス許可の使用は、IAM のベストプラクティスの推奨事項です。最小特権アクセス許可のコンセプトは、タスクを実行するにあたり必要となるアクセス権限のみをユーザーに付与することです。設定したら、最小特権アクセス許可をどのようにサポートするかを検討してください。ルートユーザーと管理者ユーザーの両方に、日常のタスクには必要ない強力なアクセス許可があります。AWS について学び、さまざまなサービスをテストしている間は、IAM Identity Center で、異なるシナリオで使用できる、より少ないアクセス許可を持つ少なくとも 1 人の追加ユーザーを作成することをお勧めします。IAM ポリシーを使用して、特定の条件下で特定のリソースに対して実行できるアクションを定義し、より少ない特権アカウントでそれらのリソースに接続することができます。

IAM Identity Center を使用している場合は、IAM Identity Center の許可セットを使用して開始することを検討してください。詳細については、IAM Identity Center ユーザーガイドの「権限セットの作成」を参照してください。

IAM Identity Center を使用しない場合は、IAM ロールを使用してさまざまな IAM エンティティにアクセス許可を定義します。詳細については、「IAM ロールの作成」を参照してください。

IAM ロールと IAM Identity Center 許可セットはどちらも、職務に基づく AWS 管理ポリシーを使用できます。これらのポリシーによって付与される許可の詳細については、「AWSジョブ機能の 管理ポリシー」を参照してください。

重要

AWS 管理ポリシーは、すべての AWS のユーザーが使用できるため、特定のユースケースに対して最小特権のアクセス許可が付与されない場合があることに留意してください。セットアップが完了したら、IAM Access Analyzer を使用して、AWS CloudTrail に記録しているアクセスアクティビティに基づいて、最小特権ポリシーを生成することをお勧めします。ポリシー生成の詳細については、「IAM Access Analyzer ポリシーの生成」を参照してください。