IAM の管理者ユーザーおよびユーザーグループの作成 (コンソール)IAM ユーザーおよびユーザーグループの作成 (AWS CLI)関連リソース

最初の IAM 管理者ユーザーおよびユーザーグループの作成

重要

ウェブサイトで Amazon 製品を販売するための Product Advertising API に関する情報を探していてこのページを見つけた場合は、「Product Advertising API 5.0 ドキュメント」を参照してください。

ベストプラクティスとして、必要でなければタスクには AWS アカウントルートユーザーを使用しないでください。代わりに、管理者アクセスが必要な担当者ごとに新しい IAM ユーザーを作成します。次に、そのユーザーを AdministratorAccess 管理ポリシーをアタッチした「Administrators」ユーザーグループに配置することで、管理者の権限を付与します。

その後、Administrators ユーザーグループのユーザーは、AWS アカウントでユーザーグループやユーザー、その他を設定する必要があります。その後の操作はすべて、ルートユーザーではなく、AWS アカウントのユーザーとそのキーを通じて行う必要があります。ただし、一部のアカウントおよびサービス管理タスクでは、ルートユーザー認証情報を使用してログインする必要があります。ルートユーザーとしてサインインする必要があるタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。

IAM の管理者ユーザーおよびユーザーグループの作成 (コンソール)

この手順では、AWS Management Console を使用して自分用の IAM ユーザーを作成し、そのユーザーを、管理ポリシーがアタッチされ管理権限を付与されたユーザーグループに追加する方法について説明します。

自分用の管理者ユーザーを作成し、そのユーザーを管理者ユーザーグループに追加するには (コンソール)

ルートユーザー を選択し AWS アカウントの E メールアドレスを入力して、アカウントの所有者として IAM コンソールにサインインします。次のページでパスワードを入力します。

注記

以下のAdministratorIAMユーザーの使用に関するベストプラクティスに従い、ルートユーザー認証情報を安全な場所に保管しておくことを強くお勧めします。いくつかのアカウントとサービスの管理タスクの実行するためにのみ、ルートユーザーとしてサインインしてください。
以下のように、作成する IAM 管理者ユーザーの請求データへのアクセスを有効にします。
1. ナビゲーションバーでアカウント名を選択してから、[マイアカウント] を選択します。
2. [IAM User and Role Access to Billing Information] の横で、[Edit] を選択します。このセクションをアカウントページに表示するには、ルートユーザーとしてサインインする必要があります。
3. 次に、[IAM アクセスのアクティベート] のチェックボックスをオンにして、[更新] を選択します。
4. ナビゲーションバーで [Services] (サービス) を選択し、[IAM] を選択して IAM コンソールに戻ります。
ナビゲーションペインで、[Users] (ユーザー)、[Add users] (ユーザーを追加) の順に選択します。
[詳細] ページで、以下の操作を実行します。
1. [User name] に、Administrator と入力します。
2. [AWS Management Console access] のチェックボックスをオンにし、[Custom password] を選択して、新しいパスワードをテキストボックスに入力します。
3. AWS は、デフォルトで、新しいユーザーに対して初回のサインイン時に新しいパスワードを作成することを要求します。必要に応じて [User must create a new password at next sign-in (ユーザーは次回のサインイン時に新しいパスワードを作成する必要がある)] のチェックボックスをオフにして、新しいユーザーにサインイン後にパスワードをリセットすることを許可できます。
4. [Next: Permissions (次へ: アクセス許可)] を選択します。
[アクセス許可] ページで、以下を実行します。
1. [Add user to group] を選択します。
2. [Create group] を選択します。
3. [グループの作成] ダイアログボックスで、[グループ名] に「Administrators」と入力します。
4. [AdministratorAccess] ポリシーのチェックボックスを選択します。
5. [グループの作成] を選択します。
6. ユーザーグループの一覧があるページに戻り、新しいユーザーグループのチェックボックスをオンにします。新しいユーザーグループが一覧に表示されない場合は、[更新] をクリックします。
7. [次へ: タグ] を選択します。
(オプション) [タグ] ページで、タグをキー - 値のペアとしてアタッチして、メタデータをユーザーに追加します。詳細については、「IAM リソースのタグ付け」を参照してください。
[Next: Review] を選択します。新しいユーザーに追加するためにユーザーグループのメンバーシップを確認します。続行する準備ができたら、[Create user] を選択します。
(オプション) [完了] ページで、ユーザーのログイン情報を含む .csv ファイルをダウンロードするか、ログイン手順を含む E メールをユーザーに送信できます。

前出と同じ手順を繰り返して、さらに新しいユーザーグループとユーザーを作成し、そのユーザーに対し、AWS アカウントのリソースへのアクセス許可を付与できます。ユーザーアクセス許可を特定の AWS リソースに限定するポリシーの使用方法については、「AWS リソースのアクセス管理」および「IAM アイデンティティベースのポリシーの例」を参照してください。ユーザーグループの作成後に別のユーザーを追加するには、「IAM ユーザーグループへのユーザーの追加と削除」を参照してください。

IAM ユーザーおよびユーザーグループの作成 (AWS CLI)

前のセクションのステップを実行している場合には、AWS Management Console を使用して管理者ユーザーグループをセットアップすると同時に、AWS アカウントで IAM ユーザーの作成も完了しています。ここに示す手順では、ユーザーグループを作成する別の方法を説明します。

概要: 管理者ユーザーグループのセットアップ

ユーザーグループを作成し、名前 (Admins など) を付けます。詳細については、「ユーザーグループの作成 (AWS CLI)」を参照してください。
ユーザーグループに管理者アクセス許可 — AWS の全アクションおよび全リソースへのアクセス権限、を付与するポリシーをアタッチします。詳細については、「ポリシーをユーザーグループにアタッチする (AWS CLI)」を参照してください。
ユーザーグループに少なくとも 1 人のユーザーを追加します。詳細については、「AWS アカウントでの IAM ユーザーの作成」を参照してください。

ユーザーグループの作成 (AWS CLI)

このセクションでは IAM システムでユーザーグループを作成する方法を説明します。

要件

AWS Command Line Interface (AWS CLI) をインストールします。詳細については、AWS Command Line Interface ユーザーガイドの「AWS CLI のインストール」を参照してください。

管理者ユーザーグループを作成するには (AWS CLI)

ユーザーグループ用に選択した名前を含めながら、aws iam create-group コマンドを入力します。オプションで、ユーザーグループ名の一部にパスを含めることができます。パスの詳細については、フレンドリ名とパスを参照してください。名前には、英数字のほかに、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、下線 (_)、ハイフン (-) を使用できます。名前は、大文字と小文字が区別されず、最大 128 文字で構成できます。

この例では、Admins という名前のユーザーグループを作成しています。
```
aws iam create-group --group-name Admins
{
    "Group": {
        "Path": "/", 
        "CreateDate": "2014-06-05T20:29:53.622Z", 
        "GroupId":"ABCDEFGHABCDEFGHABCDE",
        "Arn": "arn:aws:iam::123456789012:group/Admins", 
        "GroupName": "Admins"
    }
}
```
aws iam list-groups コマンドを入力して、AWS アカウント内のユーザーグループを一覧表示し、自分のユーザーグループが作成済みであることを確認します。
```
aws iam list-groups
{
    "Groups": [
        {
            "Path": "/", 
            "CreateDate": "2014-06-05T20:29:53.622Z", 
            "GroupId":"ABCDEFGHABCDEFGHABCDE", 
            "Arn": "arn:aws:iam::123456789012:group/Admins", 
            "GroupName": "Admins"
        }
    ]
}
```
このレスポンスには、新しいユーザーグループのための Amazon Resource Name (ARN) が含まれています。ARN は、リソースを識別するために AWS で使用される標準形式です。ARN に含まれる 12 桁の数字は、AWS アカウント ID です。ユーザーグループ (Admins) に割り当てた (記憶しやすい) 名前は、各ユーザーグループの ARN の最後に表示されます。

ポリシーをユーザーグループにアタッチする (AWS CLI)

このセクションでは、ユーザーグループ内の各ユーザーに対し、AWS アカウント内のいずれかのリソースで何等かのアクションを実行できるようにするため、ポリシーをアタッチする方法を示します。これには、AdministratorAccess という名前の AWS 管理ポリシーを、Admins ユーザーグループにアタッチします。ポリシーの詳細については、「AWS リソースのアクセス管理」を参照してください。

完全な管理者アクセス許可を付与するポリシーを追加するには (AWS CLI)

aws iam attach-group-policy コマンドを入力して、AdministratorAccess というポリシーを Admins ユーザーグループにアタッチします。このコマンドでは、AdministratorAccess という AWS 管理ポリシーの ARN が使用されています。
```
aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```
コマンドが成功した場合はレスポンスがありません。
aws iam list-attached-group-policies コマンドを入力して、ポリシーが Admins ユーザーグループへアタッチされていることを確認します。
```
aws iam list-attached-group-policies --group-name Admins
```
このレスポンスには、Admins ユーザーグループにアタッチされたポリシーの名前が一覧表示されます。次のような表示によって、AdministratorAccess という名前のポリシーが、Admins ユーザーグループにアタッチされたことが確認できます。
```
{
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        }
    ],
    "IsTruncated": false
}
```

aws iam get-policy コマンドを使用すると、特定のポリシーの内容を確認できます。

重要

セットアップが完了した管理者ユーザーグループには、少なくとも 1 人のユーザーを追加する必要があります。ユーザーグループへのユーザーの追加方法については、「AWS アカウントでの IAM ユーザーの作成」を参照してください。