最初の IAM 管理者のユーザーおよびユーザーグループの作成 - AWS Identity and Access Management

最初の IAM 管理者のユーザーおよびユーザーグループの作成

重要

ウェブサイトで Amazon 製品を販売するための Product Advertising API に関する情報を探していてこのページを見つけた場合は、「Product Advertising API 5.0 ドキュメント」を参照してください。

ベストプラクティスとして、必要でなければタスクには AWS アカウント ルートユーザーを使用しないでください。代わりに、管理者アクセスが必要な担当者ごとに新しい IAM ユーザーを作成します。次に、AdministratorAccess 管理ポリシーをアタッチした「管理者」ユーザーグループにそのユーザーを配置することで、そのユーザーを管理者にします。

その後、管理者ユーザーグループのユーザーは AWS アカウントのユーザーグループ、ユーザーなどを設定する必要があります。その後の操作はすべて、ルートユーザーではなく、AWS アカウントのユーザーとそのキーを通じて行う必要があります。ただし、一部のアカウントおよびサービス管理タスクでは、ルートユーザー認証情報を使用してログインする必要があります。ルートユーザーとしてサインインする必要があるタスクを確認するには、アカウントのルートユーザーが必要な AWS のタスクを参照してください。

管理者 IAM ユーザーおよびユーザーグループの作成 (コンソール)

この手順では、AWS Management Console を使用して自分用の IAM ユーザーを作成し、添付された管理ポリシーから管理アクセス許可を持つグループにそのユーザーを追加する方法について説明します。

自分用の管理者ユーザーを作成し、そのユーザーグループ (コンソール) を管理者グループに追加するには

  1. [Root user] (ルートユーザー) を選択して AWS アカウント の E メールアドレスを入力し、アカウント所有者として IAM コンソールにサインインします。次のページでパスワードを入力します。

    注記

    以下の IAM の Administrator ユーザーの使用に関するベストプラクティスに従って、ルートユーザーの認証情報は安全な場所に保管しておくことを強くお勧めします。ルートユーザーとしてのサインインは、いくつかのアカウントとサービスの管理タスクの実行にのみ使用してください。

  2. 以下のように、作成するIAM 管理者ユーザーの請求データへのアクセスを有効にします。

    1. ナビゲーションバーでアカウント名を選択してから、[Account] (アカウント) を選択します。

    2. [IAM User and Role Access to Billing Information] の横で、[Edit] を選択します。このセクションをアカウントページに表示するには、ルートユーザーとしてサインインする必要があります。

    3. 次に、[IAM Access のアクティベート] のチェックボックスをオンにして、[更新] を選択します。

    4. ナビゲーションバーの [セキュリティ、アイデンティティ、コンプライアンス] で [サービス] を選択し、[IAM] を選択して IAM コンソールに戻ります。

  3. ナビゲーションペインで [Users (ユーザー)]、[Add user (ユーザーを追加する)] の順に選択します。

  4. [詳細] ページで、以下の操作を実行します。

    1. [User name] に、Administrator と入力します。

    2. [AWS Management Console access] のチェックボックスをオンにし、[Custom password] を選択して、新しいパスワードをテキストボックスに入力します。

    3. AWS は、デフォルトで、新しいユーザーに対して初回のサインイン時に新しいパスワードを作成することを要求します。必要に応じて [User must create a new password at next sign-in (ユーザーは次回のサインイン時に新しいパスワードを作成する必要がある)] のチェックボックスをオフにして、新しいユーザーにサインイン後にパスワードをリセットすることを許可できます。

    4. [Next: Permissions (次へ: アクセス許可)] を選択します。

  5. [アクセス許可] ページで、以下を実行します。

    1. [Add user to group] を選択します。

    2. [Create group] (グループの作成) を選択します。

    3. [グループの作成] ダイアログボックスで、[グループ名] に「Administrators」と入力します。

    4. [AdministratorAccess] ポリシーのチェックボックスを選択します。

    5. [Create group] (グループの作成) を選択します。

    6. ユーザーグループのリストがあるページに戻り、新しいユーザーグループのチェックボックスをオンにします。新しいユーザーグループがリストに表示されない場合は、[Refresh (更新)] を選択します。

    7. [Next: Tags] (次へ: タグ) を選択します。

  6. (オプション) [タグ] ページで、タグをキー - 値のペアとしてアタッチして、メタデータをユーザーに追加します。詳細については、「IAM リソースのタグ付け」を参照してください。

  7. 次へ: レビューを選択します。新しいユーザーに追加するユーザーグループメンバーシップを確認します。続行する準備ができたら、[Create user] (ユーザーの作成) を選択します。

  8. (オプション) [完了] ページで、ユーザーのログイン情報を含む .csv ファイルをダウンロードするか、ログイン手順を含む E メールをユーザーに送信できます。

この同じプロセスを繰り返して新しいユーザーグループとユーザーを作成し、AWS アカウントのリソースへのアクセス権をユーザーに付与できます。ユーザーアクセス許可を特定の AWS リソースに限定するポリシーの使用方法については、「AWS リソースの アクセス管理」および「IAM アイデンティティベースのポリシーの例」を参照してください。グループの作成後に追加ユーザーグループを追加するには、「IAM グループへのユーザーの追加と削除」を参照してください。

IAM のユーザーとユーザーグループ (AWS CLI) を作成する

前のセクションのステップに従った場合、AWS Management Console を使用して管理者グループをセットアップすると同時に、AWS アカウントに IAM ユーザーを作成しました。この手順では、ユーザーグループを作成する別の方法を示します。

概要: 管理者ユーザーグループの設定

  1. ユーザーグループを作成し、名前 (たとえば、管理者) を付けます。詳細については、「ユーザーグループを作成するには(AWS CLI)」を参照してください。

  2. AWS の全アクションおよび全リソースへのアクセスを許可するグループ管理者アクセス許可を付与するポリシーをアタッチします。詳細については、「ユーザーグループにポリシーをアタッチする (AWS CLI)」を参照してください。

  3. ユーザーグループに少なくとも 1 人のユーザーを追加します。詳細については、「AWS アカウントでの IAM ユーザーの作成」を参照してください。

ユーザーグループを作成するには(AWS CLI)

このセクションでは IAM システムでグループを作成する方法を説明します。

要件

AWS Command Line Interface (AWS CLI) をインストールします。詳細については、 AWS Command Line InterfaceユーザーガイドAWS CLIのインストールを参照してください。

管理者ユーザーグループを作成するには (AWS CLI)

  1. ユーザーグループ用に選択した名前を使用して aws iam create-group コマンドを入力します。オプションで、ユーザーグループ名の一部としてパスを含めることができます。パスの詳細については、フレンドリ名とパスを参照してください。名前には、英数字のほかに、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、下線 (_)、ハイフン (-) を使用できます。名前は、大文字と小文字が区別されず、最大 128 文字で構成できます。

    この例では、「管理者」という名前のユーザーグループを作成します。

    aws iam create-group --group-name Admins { "Group": { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
  2. aws iam list-groups コマンドを入力して、AWS アカウントに含まれるユーザーグループを一覧表示し、ユーザーグループが作成されたことを確認します。

    aws iam list-groups { "Groups": [ { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } ] }

    レスポンスには、新規ユーザーグループに対する Amazon Resource Name(ARN)が含まれます。ARN は、リソースを識別するために AWS で使用される標準形式です。ARN に含まれる 12 桁の数字は、AWS アカウント ID です。ユーザーグループ (管理者管理者) に割り当てたフレンドリ名が、ユーザーグループの ARN の最後に表示されます。

ユーザーグループにポリシーをアタッチする (AWS CLI)

このセクションでは、ユーザーグループ内の任意のユーザーが AWS アカウント内の任意のリソースに対して任意のアクションを実行できるようにするためのポリシーをアタッチする方法を示します。これには、AdministratorAccess というAWS 管理ポリシーを管理者ユーザーグループに添付します。 ポリシーの詳細については、「AWS リソースの アクセス管理」を参照してください

完全な管理者アクセス許可を付与するポリシーを追加するには (AWS CLI)

  1. aws iam attach-group-policy コマンドを入力して、AdministratorAccess というポリシーを管理者ユーザーグループにアタッチします。このコマンドでは、AdministratorAccess という AWS 管理ポリシーの ARN が使用されています。

    aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

    コマンドが成功した場合はレスポンスがありません。

  2. aws iam list-attached-group-policies」コマンドを入力して、ポリシーが管理者ユーザーグループへ添付されていることを確認します。

    aws iam list-attached-group-policies --group-name Admins

    レスポンスには、管理者ユーザーグループにアタッチされたポリシーの名前が一覧表示されます。次のような応答によって、AdministratorAccess という名前のポリシーが管理者ユーザーグループに添付されたことが示されます。

    { "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" } ], "IsTruncated": false }

aws iam get-policy コマンドを使用すると、特定のポリシーの内容を確認できます。

重要

管理者ユーザーグループのセットアップが完了すると、少なくとも 1 人のユーザーを追加する必要があります。ユーザーグループへのユーザーの追加の詳細情報については、AWS アカウントでの IAM ユーザーの作成を参照してください。

関連リソース

Amazon Web Services 全般リファレンスに掲載されている関連情報については 、以下のリソースを参照してください。

IAM ユーザーガイド の関連情報については、以下の関連リソースを参照してください。