最初の IAM 管理者ユーザーおよびユーザーグループの作成

重要

ウェブサイトで Amazon 製品を販売するための Product Advertising API に関する情報を探していてこのページを見つけた場合は、「Product Advertising API 5.0 ドキュメント」を参照してください。

ベストプラクティスとして、必要でなければタスクには AWS アカウントのルートユーザー を使用しないでください。代わりに、管理者アクセスが必要な担当者ごとに新しい IAM ユーザーを作成します。次に、そのユーザーを AdministratorAccess 管理ポリシーをアタッチした「Administrators」ユーザーグループに配置することで、管理者の権限を付与します。

その後、Administrators ユーザーグループのユーザーは、AWS アカウントでユーザーグループやユーザー、その他を設定する必要があります。その後の操作はすべて、ルートユーザー ではなく、AWS アカウントのユーザーとそのキーを通じて行う必要があります。ただし、一部のアカウントおよびサービス管理タスクでは、ルートユーザー 認証情報を使用してログインする必要があります。ルートユーザー としてサインインする必要があるタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。

IAM の管理者ユーザーおよびユーザーグループの作成 (コンソール)

この手順では、AWS マネジメントコンソール を使用して自分用の IAM ユーザーを作成し、そのユーザーを、管理ポリシーがアタッチされ管理権限を付与されたユーザーグループに追加する方法について説明します。

自分用の管理者ユーザーを作成し、そのユーザーを管理者ユーザーグループに追加するには (コンソール)

1. ルートユーザー を選択し AWS アカウントの E メールアドレスを入力して、アカウントの所有者としてIAM コンソールにサインインします。次のページでパスワードを入力します。

   注記

   以下のAdministratorIAMユーザーの使用に関するベストプラクティスに従い、ルートユーザー認証情報を安全な場所に保管しておくことを強くお勧めします。いくつかのアカウントとサービスの管理タスクの実行するためにのみ、ルートユーザー としてサインインしてください。

2. 以下のように、作成する IAM 管理者ユーザーの請求データへのアクセスを有効にします。

   1. ナビゲーションバーでアカウント名を選択してから、[マイ アカウント] を選択します。

   2. [IAM User and Role Access to Billing Information] の横で、[Edit] を選択します。このセクションをアカウントページに表示するには、ルートユーザー としてサインインする必要があります。

   3. 次に、[IAM アクセスのアクティベート] のチェックボックスをオンにして、[更新] を選択します。

   4. ナビゲーションバーで [サービス] を選択し、[IAM] を選択して IAM ダッシュボードに戻ります。

3. ナビゲーションペインで [Users]、[Add user] の順に選択します。

4. [詳細] ページで、以下の操作を実行します。

   1. [User name] に、Administrator と入力します。

   2. [AWS マネジメントコンソール access] のチェックボックスをオンにし、[Custom password] を選択して、新しいパスワードをテキストボックスに入力します。

   3. AWS は、デフォルトで、新しいユーザーに対して初回のサインイン時に新しいパスワードを作成することを要求します。必要に応じて [User must create a new password at next sign-in (ユーザーは次回のサインイン時に新しいパスワードを作成する必要がある)] のチェックボックスをオフにして、新しいユーザーにサインイン後にパスワードをリセットすることを許可できます。

   4. [Next: Permissions (次へ: アクセス許可)] を選択します。

5. [アクセス許可] ページで、以下を実行します。

   1. [Add user to group] を選択します。

   2. [Create group] を選択します。

   3. [グループの作成] ダイアログボックスで、[グループ名] に「Administrators」と入力します。

   4. [AdministratorAccess] ポリシーのチェックボックスを選択します。

   5. [グループの作成] を選択します。

   6. ユーザーグループの一覧があるページに戻り、新しいユーザーグループのチェックボックスをオンにします。新しいユーザーグループが一覧に表示されない場合は、[更新] をクリックします。

   7. [次へ: タグ] を選択します。

6. (オプション) [タグ] ページで、タグをキー - 値のペアとしてアタッチして、メタデータをユーザーに追加します。詳細については、「IAM リソースのタグ付け」を参照してください。

7. [Next: Review] を選択します。新しいユーザーに追加するためにユーザーグループのメンバーシップを確認します。続行する準備ができたら、[Create user] を選択します。

8. (オプション) [完了] ページで、ユーザーのログイン情報を含む .csv ファイルをダウンロードするか、ログイン手順を含む E メールをユーザーに送信できます。

前出と同じ手順を繰り返して、さらに新しいユーザーグループとユーザーを作成し、そのユーザーに対し、AWS アカウントのリソースへのアクセス許可を付与できます。ユーザーアクセス許可を特定の AWS リソースに限定するポリシーの使用方法については、「AWS リソースのアクセス管理」および「IAM アイデンティティベースのポリシーの例」を参照してください。ユーザーグループの作成後に別のユーザーを追加するには、「IAM ユーザーグループへのユーザーの追加と削除」を参照してください。

IAM ユーザーおよびユーザーグループの作成 (AWS CLI)

前のセクションのステップを実行している場合には、AWS マネジメントコンソール を使用して管理者ユーザーグループをセットアップすると同時に、AWS アカウントで IAM ユーザーの作成も完了しています。ここに示す手順では、ユーザーグループを作成する別の方法を説明します。

概要: 管理者ユーザーグループのセットアップ

1. ユーザーグループを作成し、名前 (Admins など) を付けます。詳細については、「ユーザーグループの作成 (AWS CLI)」を参照してください。

2. ユーザーグループに管理者アクセス許可 — AWS の全アクションおよび全リソースへのアクセス許可を付与するポリシーをアタッチします。詳細については、「ポリシーをユーザーグループにアタッチする (AWS CLI)」をご参照ください。

3. ユーザーグループに少なくとも 1 人のユーザーを追加します。詳細については、「AWS アカウントでの IAM ユーザーの作成」を参照してください。

ユーザーグループの作成 (AWS CLI)

このセクションでは IAM システムでユーザーグループを作成する方法を説明します。

要件

AWS Command Line Interface (AWS CLI) をインストールします。詳細については、AWS Command Line Interface ユーザーガイドの「AWS CLI のインストール」を参照してください。

管理者ユーザーグループを作成するには (AWS CLI)

1. ユーザーグループ用に選択した名前を含めながら、aws iam create-group コマンドを入力します。オプションで、ユーザーグループ名の一部にパスを含めることができます。パスの詳細については、フレンドリ名とパスを参照してください。名前には、英数字のほかに、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、下線 (_)、ハイフン (-) を使用できます。名前は、大文字と小文字が区別されず、最大 128 文字で構成できます。

   この例では、Admins という名前のユーザーグループを作成しています。

   aws iam create-group --group-name Admins
   {
       "Group": {
           "Path": "/", 
           "CreateDate": "2014-06-05T20:29:53.622Z", 
           "GroupId":"ABCDEFGHABCDEFGHABCDE",
           "Arn": "arn:aws:iam::123456789012:group/Admins", 
           "GroupName": "Admins"
       }
   }

2. aws iam list-groups コマンドを入力して、AWS アカウント内のユーザーグループを一覧表示し、自分のユーザーグループが作成済みであることを確認します。

   aws iam list-groups
   {
       "Groups": [
           {
               "Path": "/", 
               "CreateDate": "2014-06-05T20:29:53.622Z", 
               "GroupId":"ABCDEFGHABCDEFGHABCDE", 
               "Arn": "arn:aws:iam::123456789012:group/Admins", 
               "GroupName": "Admins"
           }
       ]
   }

   このレスポンスには、新しいユーザーグループのための Amazon Resource Name (ARN) が含まれています。ARN は、リソースを識別するために AWS で使用される標準形式です。ARN に含まれる 12 桁の数字は、AWS アカウント ID です。ユーザーグループ (Admins) に割り当てた (記憶しやすい) 名前は、各ユーザーグループの ARN の最後に表示されます。

ポリシーをユーザーグループにアタッチする (AWS CLI)

このセクションでは、ユーザーグループ内の各ユーザーに対し、AWS アカウント内のいずれかのリソースで何等かのアクションを実行できるようにするため、ポリシーをアタッチする方法を示します。これには、AdministratorAccess という名前の AWS 管理ポリシーを、Admins ユーザーグループにアタッチします。ポリシーの詳細については、「AWS リソースのアクセス管理」を参照してください。

完全な管理者アクセス許可を付与するポリシーを追加するには (AWS CLI)

1. aws iam attach-group-policy コマンドを入力して、AdministratorAccess というポリシーを Admins ユーザーグループにアタッチします。このコマンドでは、AdministratorAccess という AWS 管理ポリシーの ARN が使用されています。

   aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

   コマンドが成功した場合はレスポンスがありません。

2. aws iam list-attached-group-policies コマンドを入力して、ポリシーが Admins ユーザーグループへアタッチされていることを確認します。

   aws iam list-attached-group-policies --group-name Admins

   このレスポンスには、Admins ユーザーグループにアタッチされたポリシーの名前が一覧表示されます。次のような表示によって、AdministratorAccess という名前のポリシーが、Admins ユーザーグループにアタッチされたことが確認できます。

   {
       "AttachedPolicies": [
           {
               "PolicyName": "AdministratorAccess",
               "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
           }
       ],
       "IsTruncated": false
   }

aws iam get-policy コマンドを使用すると、特定のポリシーの内容を確認できます。

重要

セットアップが完了した管理者ユーザーグループには、少なくとも 1 人のユーザーを追加する必要があります。ユーザーグループへのユーザーの追加方法については、「AWS アカウントでの IAM ユーザーの作成」を参照してください。

関連リソース

アマゾン ウェブ サービス全般のリファレンス の関連情報については、以下の関連リソースを参照してください。

• アカウントのルートユーザーが必要な AWS のタスク

IAM ユーザーガイド の関連情報については、以下の関連リソースを参照してください。

• 最終アクセス時間情報を使用した AWS のアクセス許可の調整

• IAM チュートリアル: 請求コンソールへのアクセス権限の委任