メニュー
AWS Identity and Access Management
ユーザーガイド

最初の IAM 管理者のユーザーおよびグループの作成

重要

アプリケーションまたはウェブサイト用のアマゾン広告を有効にするこのページに移動したら、「Product Advertising API の開発者になる」を参照してください。

ベストプラクティスとして、必要でなければタスクには AWS アカウントルートユーザーを使用しないでください。代わりに、管理者アクセスが必要な担当者ごとに新しい IAM ユーザーを作成します。次に、AdministratorAccess 管理ポリシーをアタッチした「管理者」グループにそのユーザーを配置することで、そのユーザーを管理者にします。

その後、管理者グループのユーザーは AWS アカウントのグループ、ユーザーなどを設定する必要があります。その後の操作はすべて、ルートユーザーではなく、AWS アカウントのユーザーとそのキーを通じて行う必要があります。ただし、一部のアカウントおよびサービス管理タスクでは、ルートアカウント認証情報を使用してログインする必要があります。root ユーザーとしてサインインする必要があるタスクを確認するには、アカウントのルートユーザーが必要な AWS のタスクを参照してください。

管理者 IAM ユーザーおよびグループの作成 (コンソール)

この手順では、AWS マネジメントコンソール を使用して自分用の IAM ユーザーを作成し、アタッチされた管理ポリシーから管理権限を持つグループにそのユーザーを追加する方法について説明します。

自分用の管理者ユーザーを作成し、そのユーザーを管理者グループに追加するには (コンソール)

  1. ナビゲーションペインで [Users]、[Add user] の順に選択します。

  2. [User name] で、ユーザー名 (Administrator など) を入力します。名前には、英数字のほかに、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、下線 (_)、ハイフン (-) を使用できます。名前は、大文字と小文字が区別されず、最大 64 文字で構成できます。

  3. [AWS マネジメントコンソール access] の横のチェックボックスをオンにし、[Custom password] を選択して、新しいパスワードをテキストボックスに入力します。自分以外の担当者用にユーザーを作成する場合、オプションで [Require password reset] を選択し、初回のサインイン時に新しいパスワードの作成をそのユーザーに求めることができます。

  4. [Next: Permissions] を選択します。

  5. [Set permissions for user] ページで、[Add user to group] を選択します。

  6. [Create group] を選択します。

  7. [Create group] ダイアログボックスで、新しいグループの名前を入力します。名前には、英数字のほかに、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、下線 (_)、ハイフン (-) を使用できます。名前は、大文字と小文字が区別されず、最大 128 文字で構成できます。

  8. ポリシーリストで、[AdministratorAccess] の横のチェックボックスをオンにします。次に、[Create group] を選択します。

  9. グループのリストに戻り、新しいグループのチェックボックスをオンにします。必要に応じて [Refresh] を選択し、リスト内のグループを表示します。

  10. [Next: Review] を選択して、新しいユーザーに追加するグループメンバーシップのリストを表示します。続行する準備ができたら、[Create user] を選択します。

この同じプロセスを繰り返して新しいグループとユーザーを作成し、AWS アカウントのリソースへのアクセス権をユーザーに付与できます。ユーザーアクセス権限を特定の AWS リソースに限定するポリシーの使用方法については、「アクセス管理」および「AWS リソースの管理に関するポリシーの例」を参照してください。グループの作成後に追加ユーザーを追加するには、「IAM グループへのユーザーの追加と削除」を参照してください。

IAM ユーザーおよびグループの作成 (AWS CLI)

前のセクションのステップに従った場合、AWS マネジメントコンソール を使用して管理者グループをセットアップすると同時に、AWS アカウント内にユーザーを作成しました。この手順では、グループを作成する別の方法を示します。

概要: 管理者グループのセットアップ

  1. グループを作成し、名前(たとえば、Admins)を付けます。詳細については、「グループの作成 (AWS CLI)」を参照してください。

  2. AWS の全アクションおよび全リソースへのアクセスを許可するグループ管理者権限を付与するポリシーをアタッチします。詳細については、「ポリシーをグループにアタッチする (AWS CLI)」を参照してください。

  3. グループに少なくとも 1 人のユーザーを追加します。詳細については、「AWS アカウント内での IAM ユーザーの作成」を参照してください。

グループの作成 (AWS CLI)

このセクションでは IAM システムでグループを作成する方法を説明します。

管理者グループを作成するには (AWS CLI)

  1. グループ用に選択した名前を使用して aws iam create-group コマンドを入力します。オプションで、グループ名の一部としてパスを含めることができます。パスの詳細については、分かりやすい名前とパスを参照してください。名前には、英数字のほかに、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、下線 (_)、ハイフン (-) を使用できます。名前は、大文字と小文字が区別されず、最大 128 文字で構成できます。

    この例では、「Admins」という名前のグループを作成します。

    Copy
    aws iam create-group --group-name Admins { "Group": { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
  2. aws iam list-groups コマンドを入力して、AWS アカウントに含まれるグループをリストし、グループが作成されたことを確認します。

    Copy
    aws iam list-groups { "Groups": [ { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } ] }

    レスポンスには、新規グループに対する Amazon Resource Name(ARN)が含まれます。ARN は、リソースを識別するために AWS で使用される標準形式です。ARN に含まれる 12 桁の数字は、AWS アカウント ID です。グループ(Admins)に割り当てたフレンドリ名が、グループの ARN の最後に表示されます。

ポリシーをグループにアタッチする (AWS CLI)

このセクションでは、グループ内の任意のユーザーが AWS アカウント内の任意のリソースに対して任意のアクションを実行できるようにするためのポリシーをアタッチする方法を示します。これには、AdministratorAccess という AWS 管理ポリシーを Admins グループにアタッチします。ポリシーの詳細については、「アクセス管理」を参照してください。

完全な管理者アクセス権限を付与するポリシーを追加するには (AWS CLI)

  1. aws iam attach-group-policy コマンドを入力して、AdministratorAccess というポリシーを Admins グループにアタッチします。このコマンドでは、AdministratorAccess という AWS 管理ポリシーの ARN が使用されています。

    Copy
    aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

    コマンドが成功した場合はレスポンスがありません。

  2. aws iam list-attached-group-policies」コマンドを入力して、ポリシーが Admins グループへアタッチされていることを確認します。

    Copy
    aws iam list-attached-group-policies --group-name Admins

    レスポンスには、Admins グループにアタッチされたポリシーの名前が一覧表示されます。次のような応答によって、AdministratorAccess という名前のポリシーが Admins グループにアタッチされたことが示されます。

    {
        "AttachedPolicies": [
            {
                "PolicyName": "AdministratorAccess",
                "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
            }
        ],
        "IsTruncated": false
    }

aws iam get-policy コマンドを使用すると、特定のポリシーの内容を確認できます。

重要

管理者グループのセットアップが完了すると、少なくとも 1 人のユーザーを追加する必要があります。グループへのユーザーの追加の詳細情報については、AWS アカウント内での IAM ユーザーの作成を参照してください。

関連リソース

アマゾン ウェブ サービス全般のリファレンスの関連情報については、以下の関連リソースを参照してください。

IAM ユーザーガイド』の関連情報については、以下の関連リソースを参照してください。