メニュー
AWS Identity and Access Management
ユーザーガイド

AWS アカウント内での IAM ユーザーの作成

AWS アカウントには 1 つ以上の IAM ユーザーを作成できます。組織に新入社員が加わった場合や、AWS への API 呼び出しを実行する必要がある新しいアプリケーションを使用する場合、IAM ユーザーを作成することがあります。

要約すると、ユーザーを作成して作業タスクに使用できるようにするプロセスは、以下のステップで構成されます。

  1. AWS マネジメントコンソールで、あるいは AWS CLI、Tools for Windows PowerShell、または IAM API コマンドからユーザーを作成します。AWS マネジメントコンソールでユーザーを作成した場合、ステップ 1 – 4 は自動的に処理されます。ユーザーをプログラムにより作成した場合、各ステップを別個に実行する必要があります。

  2. ユーザーに必要なアクセスのタイプに応じてユーザーの認証情報を作成します。

    • プログラムによるアクセス: ユーザーが API コールを行う必要があるか、AWS CLI または Tools for Windows PowerShell を使用する場合は、そのユーザーのアクセスキー (アクセスキー ID とシークレットアクセスキー) を作成します。

      AWS マネジメントコンソール アクセス: ユーザーが AWS マネジメントコンソール から AWS リソースにアクセスする必要がある場合、そのユーザーのパスワードを作成します

    ベストプラクティスとして、この種類のアクセスを必要としない特定のタイプのユーザーには認証情報を作成しないでください。たとえば、AWS マネジメントコンソール からのアクセスのみ必要なユーザーには、アクセスキーを作成しないでください。

  3. ユーザーを 1 つ以上のグループに追加することで、必要なタスクを実行するアクセス権限を付与します。IAM アクセス権限ポリシーをユーザーに直接アタッチしてアクセス権限を付与することはできますが、ユーザーに直接アタッチするのではなく、ユーザーをグループに追加し、それらのグループにアタッチされたポリシーを通じてアクセス権限を管理することをお勧めします。

  4. サインインに必要な情報をユーザーに提供します。この情報には、ユーザーがこれらの認証情報を入力するアカウントサインインウェブページのパスワードと URL が含まれます。詳細については、「IAM ユーザーが AWS アカウントにサインインする方法」を参照してください。

  5. (オプション) ユーザーのMulti-Factor Authentication (MFA) を設定します。MFAh では、ユーザーが AWS マネジメントコンソール にサインインするたびに 1 回限り使用のコードを入力することが求められます。

  6. (オプション)ユーザーに自分の認証情報を管理する権限を与えることができます。(デフォルト設定では、自身の認証情報を管理する権限は、ユーザーにはありません。)詳細については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

ユーザーの作成に必要なアクセス権限の詳細については、「IAM ユーザー、グループ、および認証情報を管理するための権限の委任」を参照してください。

IAM ユーザーの作成 (コンソール)

AWS マネジメントコンソール から 1 つ以上の IAM ユーザーを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Users]、[Add user] の順に選択します。

  3. 新しいユーザーのユーザー名を入力します。これは、AWS のサインイン名です。複数のユーザーを同時に追加する場合、追加のユーザーごとに [Add another user] を選択し、それらのユーザーのユーザー名を入力します。同時に追加できるユーザーは、10 ユーザーまでです。

    注記

    ユーザー名は、最大 64 文字の英数字、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。たとえば、TESTUSER というユーザーと testuser というユーザーを作成することはできません。IAM エンティティに関する制限の詳細については、「IAM エンティティにおける制限およびオブジェクト」を参照してください。

  4. このユーザーセットに付与するアクセス権限の種類を選択します。API、AWS CLI、および Tools for Windows PowerShell へのプログラムによるアクセス、AWS マネジメントコンソール へのアクセス、またはその両方を選択できます。

    • ユーザーに API、AWS CLI、または Tools for Windows PowerShell へのアクセスが必要な場合、[Programmatic access] を選択します。これにより、新しいユーザーごとにアクセスキーが作成されます。[Final] ページに到達すると、アクセスキーを表示またはダウンロードできます。

       

    • ユーザーに AWS マネジメントコンソール へのアクセスが必要な場合は、[AWS マネジメントコンソール access] を選択します。これにより、新しいユーザーごとにパスワードが作成されます。

       

      1. [Console password type] で、以下のいずれかを選択します。

         

        • [Autogenerated password]。現在有効なパスワードポリシーがある場合、このポリシーと合致するパスワードがランダムに生成されて各ユーザーに付与されます。[Final] ページに到達すると、パスワードを表示またはダウンロードできます。

           

        • [Custom password]。ボックスに入力したパスワードが各ユーザーに割り当てられます。

           

      2. (オプション) ユーザーに初回サインイン時にパスワードの変更を強制するため、[Require password reset] を選択することをお勧めします。

        注記

        アカウント全体に適用されるパスワードポリシー [Allow users to change their own password] を有効にしていない場合、[Require password reset] を選択すると、IAMUserChangePassword という名前の AWS 管理ポリシーが自動的に新しいユーザーにアタッチされ、自分のパスワードを変更するアクセス権限が付与されます。

  5. [Next: Permissions] を選択します。

  6. [Set permissions] ページで、一連の新しいユーザーにアクセス権限を割り当てる方法を指定します。以下の 3 つのオプションのいずれかを選択します。

    • [Add user to group]。適切なアクセス権限ポリシーが既に作成されているグループがあり、ユーザーをそれらのグループに割り当てる場合、このオプションを選択します。IAM には、現在定義されているグループと、それらのアタッチされたポリシーのリストが表示されます。1 つ以上の既存のグループを選択するか、[Create group] を選択して新しいグループを作成する必要があります。詳細については、「IAM ユーザーのアクセス権限の変更」を参照してください。

    • [Copy permissions from existing user]。グループメンバーシップ、アタッチされた管理ポリシー、埋め込みインラインポリシーすべてを、既存のユーザーから新しいユーザーにコピーするには、このオプションを選択します。IAM には、現在定義されているユーザーのリストが表示されます。アクセス権限が新しいユーザーのニーズに最も近いにユーザーを選択します。新しい各ユーザーには、選択したユーザーと同じグループメンバーシップおよびアタッチされたポリシーが割り当てられます。

    • [Attach existing policies to user directly] 既存の管理ポリシーから選択するか、新しいユーザーにアタッチされる新しい管理ポリシーを作成するには、このオプションを選択します。IAM には、現在定義されている管理ポリシー (AWS によって定義されたポリシーとお客様が定義したポリシーの両方) のリストが表示されます。新しいユーザーにアタッチするポリシーを選択するか、[Create policy] を選択して新しいポリシーをゼロから作成します。詳細については、「ポリシーの作成」のステップ 4 を参照してください。

  7. [Next: Review] を選択し、この時点までに行ったすべての選択を確認します。続行する準備ができたら、[Create user] を選択します。

  8. ユーザーのアクセスキー (アクセスキー ID とシークレットアクセスキー) を表示するには、各パスワードおよび表示するシークレットアクセスキーの横にある [Show] をクリックします。アクセスキーを保存するには、[Download .csv] を選択し、安全な場所にファイルを保存します。

    重要

    シークレットアクセスキーを表示またはダウンロードできるのはこのときだけです。AWS API を使用する前に、ユーザーにこの情報を提供する必要があります。ユーザーの新しいアクセスキー ID とシークレットアクセスキーは、安全な場所に保存してください。このステップの後、シークレットキーに再度アクセスすることはできません。

  9. 自身の認証情報を使用して各ユーザーに提供します。最後のページで、各ユーザーの横の [Send email] を選択できます。ローカルメールクライアントに下書きが表示され、カスタマイズして送信できます。メールのテンプレートは、各ユーザーの以下の詳細が含まれています。

    • ユーザー名

       

    • アカウントサインインウェブページへの URL。次の例を使用して、適切なアカウント ID またはアカウントエイリアスと置き換えます。

      Copy
      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    詳細については、「IAM ユーザーが AWS アカウントにサインインする方法」を参照してください。

    重要

    ユーザーのパスワードは、生成されたメールには記載されていません。組織のセキュリティガイドラインに従った方法でお客様に伝える必要があります。

  10. (オプション) ユーザーに自身のセキュリティ認証情報を管理する権限を付与します。詳細については、「ユーザーが自分のパスワード、アクセスキー、SSH キーを管理することを許可する」を参照してください。

IAM ユーザーの作成 (AWS CLI、Tools for Windows PowerShell、または IAM HTTP API)

AWS CLI、Tools for Windows PowerShell、または IAM HTTP API から IAM ユーザーを作成するには

  1. ユーザーを作成します。

  2. (オプション) ユーザーに AWS マネジメントコンソール へのアクセス権を付与します。これにはパスワードが必要です。また、アカウントのサインインページの URL をユーザーに提供する必要があります。

  3. (オプション) ユーザーにプログラムによりアクセス権を付与します。これにはアクセスキーが必要です。

    • AWS CLI: aws iam create-access-key

    • Tools for Windows PowerShell: New-IAMAccessKey

    • IAM API: CreateAccessKey

      重要

      シークレットアクセスキーを表示またはダウンロードできるのはこのときだけです。AWS API を使用する前に、ユーザーにこの情報を提供する必要があります。ユーザーの新しいアクセスキー ID とシークレットアクセスキーは、安全な場所に保存してください。このステップの後、シークレットキーに再度アクセスすることはできません。

  4. ユーザーを 1 つまたは複数のグループに追加します。指定したグループには、ユーザーに対して適切なアクセス権限を付与するポリシーがアタッチされている必要があります。

  5. (オプション)ユーザーのアクセス権限を定義するポリシーをユーザーにアタッチします。注意: ユーザーのアクセス権限の管理は、ユーザーをグループに追加してグループにポリシーをアタッチすることで(ユーザーに直接アタッチするのではなく)行うことをお勧めします。

  6. (オプション)ユーザーに自分の認証情報を管理する権限を与えます。詳細については、「ユーザーが自分のパスワード、アクセスキー、SSH キーを管理することを許可する」を参照してください。