IAM の準備作業 - AWS Identity and Access Management
AWS アカウントにサインアップする管理ユーザーを作成する最小特権アクセス許可に備える

IAM の準備作業

重要

IAM ベストプラクティスでは、長期的な認証情報を持つIAMユーザーを使用するのではなく、一時的な認証情報を使用して AWS にアクセスするために、IDプロバイダーとのフェデレーションを使用することを人間ユーザーに求めることを推奨します。

AWS Identity and Access Management (IAM) により、Amazon Web Services (AWS) およびアカウントリソースへのアクセスを安全に管理することができます。IAM では、サインイン認証情報をプライベートに保持することもできます。IAM を使用するため、特別にサインアップしません。IAM の使用は無料です。

ユーザーやロールなどの ID に対し、アカウントのリソースに対するアクセス権を付与するには、IAM を使用します。例えば、AWS の外部で管理している社内ディレクトリの既存のユーザーに対し IAM を使用することや、AWS IAM Identity Center (successor to AWS Single Sign-On) を使用して AWS 内にユーザーを作成することが考えられます。フェデレーション ID は、定義済の IAM ロールを引き受け、必要なリソースのみにアクセスします。IAM アイデンティティセンターの詳細については、「AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイド」の「What is IAM Identity Center?」(IAM アイデンティティセンターとは) を参照してください。

注記

IAM は、IAM に統合されている AWS 製品でのみ動作します。IAM をサポートするサービスのリストについては、「IAM と連携する AWS のサービス」を参照してください。

トピック

AWS アカウントにサインアップする

AWS アカウント がない場合は、以下のステップを実行して作成します。

AWS アカウント にサインアップするには

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて検証コードを入力するように求められます。

    AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、管理ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

AWS のサインアップ処理が完了すると、ユーザーに確認メールが送信されます。https://aws.amazon.com/[My Account] (アカウント) をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

管理ユーザーを作成する

AWS アカウント にサインアップした後、日常的なタスクにルートユーザーを使用しないように、管理ユーザーを作成します。

AWS アカウントのルートユーザー をセキュリティで保護する

  1. [ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「ルートユーザーとしてサインインする」を参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、IAM ユーザーガイドの「AWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。

管理ユーザーを作成する

  • 日常的な管理タスクのためには、AWS IAM Identity Center (successor to AWS Single Sign-On) の管理ユーザーに管理アクセスを割り当てます。

    手順については、AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイドの「開始方法」を参照してください。

管理ユーザーとしてサインインする

  • IAM Identity Center ユーザーとしてサインインするには、IAM Identity Center ユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

    IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「AWS アクセスポータルにサインインする」を参照してください。

最小特権アクセス許可に備える

最小特権のアクセス許可の使用は、IAM のベストプラクティスの推奨事項です。最小特権アクセス許可のコンセプトは、タスクを実行するにあたり必要となるアクセス権限のみをユーザーに付与することです。設定したら、最小特権アクセス許可をどのようにサポートするかを検討してください。ルートユーザーと管理者ユーザーの両方に、日常のタスクには必要ない強力な権限があります。AWS について学び、さまざまなサービスをテストしている間は、IAM Identity Center で、異なるシナリオで使用できる、より少ない権限を持つ少なくとも 1 人の追加ユーザーを作成することをお勧めします。IAM ポリシーを使用して、特定の条件下で特定のリソースに対して実行できるアクションを定義し、より少ない特権アカウントでそれらのリソースに接続することができます。

IAM Identity Center を使用している場合は、IAM Identity Center の許可セットを使用して開始することを検討してください。詳細については、「AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザガイド」の「許可セットの作成」を参照してください。

IAM Identity Center を使用しない場合は、IAM ロールを使用してさまざまな IAM エンティティに特権を定義します。詳細については、「IAM ロールの作成」を参照してください。

IAM ロールと IAM Identity Center 許可セットはどちらも、職務に基づく AWS 管理ポリシーを使用できます。これらのポリシーによって付与される許可の詳細については、「AWSジョブ機能の 管理ポリシー」を参照してください。

重要

AWS 管理ポリシーは、すべての AWS のユーザーが使用できるため、特定のユースケースに対して最小特権のアクセス許可が付与されない場合があることに留意してください。セットアップが完了したら、IAM Access Analyzer を使用して、AWS CloudTrail に記録しているアクセスアクティビティに基づいて、最小特権ポリシーを生成することをお勧めします。ポリシー生成の詳細については、「IAM Access Analyzer ポリシーの生成」を参照してください。