AWS アカウント のセットアップ
IAM の使用を開始する前に、AWS 環境の初期設定が完了していることを確認してください。
AWS アカウント がない場合は、以下のステップを実行して作成します。
AWS アカウントにサインアップするには
オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。
AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべてのAWS のサービスとリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。
サインアップ処理が完了すると、AWS からユーザーに確認メールが送信されます。https://aws.amazon.com/
サービスにサインアップした時に、メールアドレスとパスワードを使用して AWS アカウント を作成しました。これらが AWSのルートユーザー認証情報です。ベストプラクティスとして、日常的なタスクで AWS にアクセスするためにルートユーザーの認証情報を使用しないでください。ルートユーザー認証情報を必要とするタスクを実行するには、ルートユーザー認証情報のみを使用してください。また、認証情報を他のユーザーと共有しないでください。代わりに、ディレクトリに人々を追加し、AWS アカウント へのアクセスを付与します。
AWS アカウントのルートユーザー を保護するには
-
ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console
にサインインします。次のページでパスワードを入力します。 ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドのルートユーザーとしてサインインするを参照してください。
-
ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、「IAM ユーザーガイド」のAWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)を参照してください。
請求コンソールへのアクセス権の付与
AWS アカウント内の IAM ユーザーとロールは、デフォルトでは Billing and Cost Management コンソールにアクセスできません。これは、IAM ユーザーまたはロールに、特定の請求機能へのアクセス権を付与する IAM ポリシーがある場合でも当てはまります。アクセスを許可するには、AWS アカウントルートユーザーが先に IAM アクセスをアクティブ化しておく必要があります。
注記
セキュリティ上の理由から、AWS IAM Identity Center で ID フェデレーションを利用してリソースにアクセスできるようにするのがベストプラクティスです。IAM アイデンティティセンターを AWS Organizations と共に有効にすると、Billing and Cost Management コンソールがデフォルトで有効になり、組織内のすべての AWS アカウントに対して一括請求を実施できます。詳細については、「Billing and Cost Management ユーザーガイド」の「Consolidating billing for AWS Organizations」を参照してください。
ルートユーザー認証情報 (AWS アカウントの作成に使用した E メールアドレスとパスワード) で AWS Management Console にサインインします。
ナビゲーションバーでアカウント名を選択してから、[アカウント]
を選択します。 ページを下にスクロールして、[請求情報への IAM ユーザーとロールのアクセス] セクションが見つかったら、[編集] を選択します。
[Activate IAM Access] (アクセスのアクティブ化) チェックボックスをオンにして、Billing and Cost Management ページへのアクセスをアクティブ化します。
[Update] (更新) を選択します。
このページには、[IAM ユーザーとロールの請求情報へのアクセスがアクティブ化されています] というメッセージが表示されます。
重要
IAM アクセスをアクティブ化するだけでは、Billing and Cost Management コンソールページを表示できるアクセス許可がユーザーとロールに付与されません。また、Billing and Cost Management コンソールへのアクセスを許可するには、必要な ID ベースのポリシーを IAM ロールにアタッチする必要があります。ロールは、ユーザーが必要なときに引き受けることができる一時的な認証情報を提供します。
-
AWS Management Consoleを使用して、Billing and Cost Management にアクセスするためにユーザーが引き受けることができるロールを作成します。
-
ロールの [アクセス許可の追加] ページで、アクセス許可を追加して、自分の AWS アカウントの請求リソースに関する詳細をリストします。
AWS マネージドポリシー請求は、Billing and Cost Management コンソールを表示および編集するためのアクセス許可をユーザーに付与します。これには、アカウントの使用状況の閲覧、予算および支払い方法の修正が含まれます。IAM ロールにアタッチしてアカウントの請求情報へのアクセスを制御できるポリシーのその他の例については、「Billing and Cost Management ユーザーガイド」の「AWS 請求ポリシーの例」を参照してください。
管理アクセスを持つユーザーを作成するには
-
IAM アイデンティティセンターを有効にします。
手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Center の有効化」を参照してください。
-
IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
IAM アイデンティティセンターディレクトリ をアイデンティティソースとして使用するチュートリアルについては、「AWS IAM Identity Center ユーザーガイド」の「デフォルト IAM アイデンティティセンターディレクトリを使用したユーザーアクセスの設定」を参照してください。
管理アクセス権を持つユーザーとしてサインインする
-
IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドのAWS アクセスポータルにサインインするを参照してください。