コンソールにサインインする
AWS Identity and Access Management
ユーザーガイド

AWS ドキュメント » AWS Identity and Access Management » ユーザーガイド » 開始方法 » 最初の IAM 管理者のユーザーおよびグループの作成

最初の IAM 管理者のユーザーおよびグループの作成

重要

アプリケーションまたはウェブサイト用のアマゾン広告を有効にするこのページに移動したら、「Product Advertising API の開発者になる」を参照してください。

ベストプラクティスとして、必要でなければタスクには AWS アカウントのルートユーザー を使用しないでください。代わりに、管理者アクセスが必要な担当者ごとに新しい IAM ユーザーを作成します。次に、AdministratorAccess 管理ポリシーをアタッチした「管理者」グループにそのユーザーを配置することで、そのユーザーを管理者にします。

その後、管理者グループのユーザーは AWS アカウントのグループ、ユーザーなどを設定する必要があります。その後の操作はすべて、ルートユーザー ではなく、AWS アカウントのユーザーとそのキーを通じて行う必要があります。ただし、一部のアカウントおよびサービス管理タスクでは、ルートユーザー 認証情報を使用してログインする必要があります。ルートユーザー としてサインインする必要があるタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。

管理者 IAM ユーザーおよびグループの作成 (コンソール)

この手順では、AWS マネジメントコンソール を使用して自分用の IAM ユーザーを作成し、アタッチされた管理ポリシーから管理アクセス許可を持つグループにそのユーザーを追加する方法について説明します。

自分用の管理者ユーザーを作成し、そのユーザーを管理者グループに追加するには (コンソール)

  1. AWS アカウント E メールアドレスとパスワードを使用して https://console.aws.amazon.com/iam/AWS アカウントのルートユーザー として IAM コンソールにサインインします。

    注記

    以下のAdministratorIAMユーザーの使用に関するベストプラクティスに従い、ルートユーザー認証情報を安全な場所に保管しておくことを強くお勧めします。ルートユーザーとしてサインインして、少数のアカウントおよびサービス管理タスクのみを実行します。

  2. ナビゲーションペインで [ユーザー]、[ユーザーを追加] の順に選択します。

  3. [User name] に、Administrator と入力します。

  4. [AWS マネジメントコンソール のアクセス] の横のチェックボックスをオンにし、[Custom password (カスタムパスワード)] を選択して、新しいパスワードをテキストボックスに入力します。AWS は、デフォルトで、新しいユーザーに対して初回のサインイン時に新しいパスワードを作成することを要求します。必要に応じて [User must create a new password at next sign-in (ユーザーは次回のサインイン時に新しいパスワードを作成する必要がある)] のチェックボックスをオフにして、新しいユーザーにサインイン後にパスワードをリセットすることを許可できます。

  5. [Next: Permissions (次へ: アクセス許可)] を選択します。

  6. [アクセス許可の設定] ページで、[ユーザーをグループに追加] を選択します。

  7. [Create group] を選択します。

  8. [グループの作成] ダイアログボックスで、[グループ名] に「Administrators」と入力します。

  9. [ポリシータイプ] を選択したら、[ジョブ機能] を選択してテーブルコンテンツをフィルタリングします。

  10. ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにします。次に、[Create group] を選択します。

    注記

    AdministratorAccess アクセス許可を使用して、AWS Billing and Cost Management コンソールを使用する前に、IAM ユーザーおよびロールの請求へのアクセスをアクティブ化する必要があります。そのためには、請求コンソールへのアクセスの委任に関するチュートリアルのステップ 1 の手順に従ってください。

  11. グループのリストに戻り、新しいグループのチェックボックスをオンにします。必要に応じて [Refresh] を選択し、リスト内のグループを表示します。

  12. [Next: Tagging] を選択します。

  13. (オプション) タグをキー - 値のペアとしてアタッチして、メタデータをユーザーに追加します。IAM におけるタグの使用の詳細については、「IAM エンティティのタグ付け」を参照してください。

  14. [Next: Review] を選択して、新しいユーザーに追加するグループメンバーシップのリストを表示します。続行する準備ができたら、[Create user] を選択します。

この同じプロセスを繰り返して新しいグループとユーザーを作成し、AWS アカウントのリソースへのアクセス権をユーザーに付与できます。ユーザーアクセス許可を特定の AWS リソースに限定するポリシーの使用方法については、「アクセス管理」および「IAM アイデンティティベースのポリシーの例」を参照してください。グループの作成後に追加ユーザーを追加するには、「IAM グループへのユーザーの追加と削除」を参照してください。

IAM ユーザーおよびグループの作成 (AWS CLI)

前のセクションのステップに従った場合、AWS マネジメントコンソール を使用して管理者グループをセットアップすると同時に、AWS アカウントに IAM ユーザーを作成しました。この手順では、グループを作成する別の方法を示します。

概要: 管理者グループのセットアップ

  1. グループを作成し、名前 (たとえば、Admins) を付けます。詳細については、「グループの作成 (AWS CLI)」を参照してください。

  2. AWS の全アクションおよび全リソースへのアクセスを許可するグループ管理者アクセス許可を付与するポリシーをアタッチします。詳細については、「ポリシーをグループにアタッチする (AWS CLI)」を参照してください。

  3. グループに少なくとも 1 人のユーザーを追加します。詳細については、「AWS アカウントでの IAM ユーザーの作成」を参照してください。

グループの作成 (AWS CLI)

このセクションでは IAM システムでグループを作成する方法を説明します。

管理者グループを作成するには (AWS CLI)

  1. グループ用に選択した名前を使用して aws iam create-group コマンドを入力します。オプションで、グループ名の一部としてパスを含めることができます。パスの詳細については、分かりやすい名前とパスを参照してください。名前には、英数字のほかに、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、下線 (_)、ハイフン (-) を使用できます。名前は、大文字と小文字が区別されず、最大 128 文字で構成できます。

    この例では、「Admins」という名前のグループを作成します。

    aws iam create-group --group-name Admins
{
    "Group": {
        "Path": "/", 
        "CreateDate": "2014-06-05T20:29:53.622Z", 
        "GroupId":"ABCDEFGHABCDEFGHABCDE",
        "Arn": "arn:aws:iam::123456789012:group/Admins", 
        "GroupName": "Admins"
    }
}

  2. aws iam list-groups コマンドを入力して、AWS アカウントに含まれるグループを一覧表示し、グループが作成されたことを確認します。 

    aws iam list-groups
{
    "Groups": [
        {
            "Path": "/", 
            "CreateDate": "2014-06-05T20:29:53.622Z", 
            "GroupId":"ABCDEFGHABCDEFGHABCDE", 
            "Arn": "arn:aws:iam::123456789012:group/Admins", 
            "GroupName": "Admins"
        }
    ]
}

    レスポンスには、新規グループに対する Amazon Resource Name(ARN)が含まれます。ARN は、リソースを識別するために AWS で使用される標準形式です。ARN に含まれる 12 桁の数字は、AWS アカウント ID です。グループ (Admins) に割り当てたフレンドリ名が、グループの ARN の最後に表示されます。

ポリシーをグループにアタッチする (AWS CLI)

このセクションでは、グループ内の任意のユーザーが AWS アカウント内の任意のリソースに対して任意のアクションを実行できるようにするためのポリシーをアタッチする方法を示します。これには、AdministratorAccess という AWS 管理ポリシーを Admins グループにアタッチします。ポリシーの詳細については、「アクセス管理」を参照してください。

完全な管理者アクセス許可を付与するポリシーを追加するには (AWS CLI)

  1. aws iam attach-group-policy コマンドを入力して、AdministratorAccess というポリシーを Admins グループにアタッチします。このコマンドでは、AdministratorAccess という AWS 管理ポリシーの ARN が使用されています。 

    aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

    コマンドが成功した場合はレスポンスがありません。

  2. aws iam list-attached-group-policies」コマンドを入力して、ポリシーが Admins グループへアタッチされていることを確認します。 

    aws iam list-attached-group-policies --group-name Admins

    レスポンスには、Admins グループにアタッチされたポリシーの名前が一覧表示されます。次のような応答によって、AdministratorAccess という名前のポリシーが Admins グループにアタッチされたことが示されます。 

    {
    "AttachedPolicies": [
        {
            "PolicyName": "AdministratorAccess",
            "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess"
        }
    ],
    "IsTruncated": false
}

aws iam get-policy コマンドを使用すると、特定のポリシーの内容を確認できます。

重要

管理者グループのセットアップが完了すると、少なくとも 1 人のユーザーを追加する必要があります。グループへのユーザーの追加の詳細情報については、AWS アカウントでの IAM ユーザーの作成を参照してください。

関連リソース

アマゾン ウェブ サービス全般のリファレンス の関連情報については、以下の関連リソースを参照してください。

IAM ユーザーガイド の関連情報については、以下の関連リソースを参照してください。