AWS アカウント での IAM ユーザーの作成

重要

IAM ベストプラクティスでは、長期的な認証情報を持つIAMユーザーを使用するのではなく、一時的な認証情報を使用して AWS にアクセスするために、IDプロバイダーとのフェデレーションを使用することを人間ユーザーに求めることを推奨します。

注記

ウェブサイトで Amazon 製品を販売するための Product Advertising API に関する情報を探していてこのページを見つけた場合は、「Product Advertising API 5.0 ドキュメント」を参照してください。

このページに IAM コンソールから到達した場合は、サインイン済みであっても、アカウントに IAM ユーザーが含まれていない可能性があります。AWS アカウントのルートユーザー、ロール、一時的な認証情報のいずれかを使用してサインインします。これらの IAM 認証情報については、「IAM ID (ユーザー、ユーザーグループ、ロール)」を参照してください。

ユーザーを作成して、このユーザーに作業タスクの実行を許可するステップは以下のとおりです。

1. AWS Management Console、AWS CLI、Tools for Windows PowerShell で、または AWS API オペレーションを使用してユーザーを作成します。AWS Management Console でユーザーを作成する場合は、選択内容に基づいてステップ 1 ～ 4 が自動的に処理されます。ユーザーをプログラムにより作成した場合、各ステップを別個に実行する必要があります。

2. ユーザーに必要なアクセスのタイプに応じてユーザーの認証情報を作成します。

   • [コンソールアクセスを有効にする - オプション]: ユーザーが AWS Management Console にアクセスする必要がある場合は、該当ユーザーのパスワードを作成します。ユーザーのコンソールアクセスを無効にすると、ユーザー名とパスワードを使用して AWS Management Console にサインインできなくなります。権限を変更したり、引き受けたロールを使用してコンソールにアクセスできないようにしたりすることはありません。

   ヒント

   ユーザーが必要とする認証情報のみを作成します。例えば、AWS Management Console を介したアクセスのみ必要なユーザーには、アクセスキーを作成しないでください。

3. ユーザーを 1 つ以上のグループに追加することで、必要なタスクを実行するアクセス権限を付与します。アクセス許可ポリシーをユーザーに直接アタッチして、アクセス許可を付与することもできます。ただし、ユーザーをグループに配置し、アクセス権限の管理は、グループにアタッチされているポリシーを通して行うことをお勧めします。アクセス許可の境界を使用してユーザーのアクセス許可を制限することもできます。ただし、これは一般的ではありません。

4. (オプション) タグをアタッチして、メタデータをユーザーに追加します。IAM におけるタグの使用の詳細については、「IAM リソースのタグ付け」を参照してください。

5. 必要なサインイン情報をユーザーに提供します。この情報には、ユーザーがアカウントのサインインページで認証情報として入力するパスワードやコンソールの URL が含まれます。詳細については、「IAM ユーザーが AWS にサインインする方法」を参照してください。

6. (オプション) ユーザーの 多要素認証 (MFA) を設定します。MFA では、ユーザーが AWS Management Console にサインインするたびに 1 回限り使用のコードを入力することが求められます。

7. (オプション) ユーザーに自分の認証情報を管理する権限を与えることができます。(デフォルト設定では、自身の認証情報を管理する権限は、ユーザーにはありません) 詳細については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

ユーザーの作成に必要なアクセス許可の詳細については、「他の IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。

IAM ユーザーの作成（コンソール）

IAM ユーザーは AWS Management Console で作成できます。

IAM ユーザーを作成するには (コンソール)

1. AWS サインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

2. [コンソールホーム] のページで、IAM サービスを選択します。

3. ナビゲーションペインで [ユーザー]、[ユーザーを追加] の順に選択します。

4. [ユーザーの詳細を指定] ページの [ユーザーの詳細] の [ユーザー名] に、新しいユーザーの名前を入力します。これは、AWS のサインイン名です。

   注記

   AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「IAM と AWS STSクォータ」を参照してください。ユーザー名は、最大 64 文字の英数字、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、アンダースコア (_)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。例えば、TESTUSER というユーザーと testuser というユーザーを作成することはできません。ユーザー名をポリシーまたは ARN の一部として使用する場合、名前の大文字と小文字が区別されます。サインイン中など、コンソールにユーザー名が表示される場合、大文字と小文字は区別されません。

5. [ユーザーアクセスを — AWS Management Console へ提供するオプション] を選択します。これにより、新しいユーザーの AWS Management Console サインイン認証情報が生成されます。

   個人にコンソールアクセスを提供しているかどうかを尋ねられます。IAM ではなく IAM Identity Center でユーザーを作成することをお勧めします。

   • IAM Identity Center でのユーザーの作成に切り替えるには、[Identity Center でユーザーを指定] を選択します。

     IAM Identity Center を有効にしていない場合は、このオプションを選択するとコンソールのサービスページが表示され、サービスを有効にできます。この手順の詳細については、AWS IAM Identity Center ユーザーガイドの「https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html」を参照してください

     IAM ID Center を有効にしている場合、このオプションを選択すると、IAM ID Center の [ユーザーの詳細を指定] ページに移動します。この手順の詳細については、AWS IAM Identity Center ユーザーガイドの「https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html」を参照してください

   • IAM Identity Center を使用できない場合は、[IAM ユーザーを作成する] を選択し、以下の手順を続けてください。

   1. [コンソールのパスワード] で、以下のいずれかを選択します。

      • [自動生成パスワード] – ユーザーは、アカウントのパスワードポリシーの要件を満たすランダムに生成されたパスワードを取得します。[パスワードの取得] ページに到達すると、パスワードを表示またはダウンロードできます。

      • [カスタムパスワード] – ボックスに入力したパスワードがユーザーに割り当てられます。

   2. (オプション) [ユーザーは次回のサインイン時に新しいパスワードを作成する必要がある (推奨)] がデフォルトで選択されており、ユーザーに初回サインイン時にパスワードを強制的に変更させることができます。

      注記

      管理者が「[ユーザーにパスワードの変更を許可] のアカウントのパスワードポリシー設定」を有効にしている場合、このチェックボックスには何の効果もありません。それ以外の場合は、IAMUserChangePassword という名前の AWS マネージドポリシーが自動的に新しいユーザーにアタッチされます。ポリシーは、ユーザーに対して、各自のパスワードを変更するためのアクセス許可を付与します。

6. [Next] (次へ) を選択します。

7. [アクセス許可の設定] ページで、このユーザーにアクセス許可を割り当てる方法を指定します。以下の 3 つのオプションのいずれかを選択します。

   • [ユーザーをグループに追加する] – アクセス許可ポリシーがすでに付与されている 1 つ以上のグループにユーザーを割り当てる場合は、このオプションを選択します。IAM は、アカウント内のグループおよびアタッチされているポリシーを一覧表示します。1 つ以上の既存のグループを選択するか、[グループの作成] を選択して新しいグループを作成する必要があります。詳細については、「IAM ユーザーのアクセス許可の変更」を参照してください。

   • [アクセス許可のコピー] – グループメンバーシップ、アタッチされている管理ポリシー、埋め込まれているインラインポリシー、および既存のアクセス許可の境界のすべてを既存のユーザーから新しいユーザーにコピーする場合は、このオプションを選択します。IAM は、アカウント内のユーザーを一覧表示します。アクセス許可が新しいユーザーのニーズに最も近いにユーザーを選択します。

   • [ポリシーを直接アタッチする] – アカウント内の AWS 管理ポリシーとカスタマー管理ポリシーを一覧表示する場合は、このオプションを選択します。ユーザーにアタッチするポリシーを選択します。または、[ポリシーの作成] を選択して、新しいブラウザタブを開き、新しいポリシーを作成します。詳細については、「IAM ポリシーの作成」のステップ 4 を参照してください。ポリシーを作成したら、そのタブを閉じて元のタブに戻り、ユーザーにポリシーを追加します。

     ヒント

     可能な限り、ポリシーをグループにアタッチし、ユーザーを適切なグループのメンバーにします。

8. (オプション) アクセス許可の境界を設定します。これはアドバンスド機能です。

   [アクセス許可の境界] セクションを開き、[アクセス許可の境界を使用してアクセス許可の上限を設定する] を選択します。IAM は、アカウント内の AWS 管理ポリシーとカスタマー管理ポリシーを一覧表示します。アクセス許可の境界として使用するポリシーを選択するか、[ポリシーの作成] を選択して新しいブラウザタブを開き、新しいポリシーを作成します。詳細については、「IAM ポリシーの作成」のステップ 4 を参照してください。ポリシーを作成したら、そのタブを閉じて元のタブに戻り、アクセス許可の境界として使用するポリシーを選択します。

9. [Next] (次へ) を選択します。

10. (オプション) [レビューと作成] ページの [タグ] で [新しいタグを追加] を選択し、ユーザーにキーと値のペアとしてタグをアタッチし、メタデータを追加します。IAM におけるタグの使用の詳細については、「IAM リソースのタグ付け」を参照してください。

11. この時点までに行ったすべての選択を確認します。続行する準備ができたら、[ユーザーの作成] を選択します。

12. [パスワードの取得] ページで、ユーザーに割り当てられたパスワードを取得します。

    • パスワードの横にある [表示] を選択すると、ユーザーのパスワードが表示され、手動で記録できます。

    • [.csv のダウンロード] を選択すると、ユーザーのサインイン認証情報が .csv ファイルとしてダウンロードされ、安全な場所に保存できます。

13. [メールのサインイン方法] を選択します。ローカルメールクライアントに下書きが表示され、カスタマイズしてユーザーに送信できます。メールのテンプレートは、各ユーザーの以下の詳細が含まれています。

    • [User name] (ユーザー名)

    • アカウントのサインインページへの URL。次の例を使用して、適切なアカウント ID またはアカウントエイリアスと置き換えます。

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    重要

    ユーザーのパスワードは、生成されたメールには記載されていません。パスワードは、組織のセキュリティガイドラインに従った方法でユーザーに提供する必要があります。

14. ユーザーがアクセスキーも必要とする場合は、「IAM ユーザーのアクセスキーの管理」を参照してください。

IAM ユーザーの作成 (AWS CLI)

IAM ユーザーは AWS CLI で作成できます。

IAM ユーザーを作成するには (AWS CLI)

1. ユーザーを作成します。

   • aws iam create-user

2. (オプション) ユーザーに AWS Management Console へのアクセス権を付与します。これにはパスワードが必要です。また、アカウントのサインインページの URL をユーザーに提供する必要があります。

   • aws iam create-login-profile

3. (オプション) ユーザーにプログラムによりアクセス権を付与します。これにはアクセスキーが必要です。

   • aws iam create-access-key

   • Tools for Windows PowerShell: New-IAMAccessKey

   • IAM API: CreateAccessKey

     重要

     シークレットアクセスキーを表示またはダウンロードできるのはこのときだけです。AWS API を使用する前に、ユーザーにこの情報を提供する必要があります。ユーザーの新しいアクセスキー ID とシークレットアクセスキーは、安全な場所に保存してください。このステップを行った後に、シークレットキーに再度アクセスすることはできません。

4. ユーザーを 1 つまたは複数のグループに追加します。指定したグループには、ユーザーに対して適切なアクセス権限を付与するポリシーがアタッチされている必要があります。

   • aws iam add-user-to-group

5. (オプション) ユーザーのアクセス権限を定義するポリシーをユーザーにアタッチします。注意: ユーザーのアクセス許可の管理は、ユーザーをグループに追加してグループにポリシーをアタッチすることで (ユーザーに直接アタッチするのではなく) 行うことをお勧めします。

   • aws iam attach-user-policy

6. (オプション) タグをアタッチして、カスタム属性をユーザーに追加します。詳細については、「IAM ユーザーのタグの管理 ( AWS CLI または AWS API)」を参照してください。

7. (オプション) ユーザーに自身のセキュリティ認証情報を管理する権限を与えることができます。詳細については、「AWS: MFA で認証された IAM ユーザーが [セキュリティ認証情報] ページで自分の認証情報を管理できるようにします」を参照してください。

IAM ユーザーの作成 (AWS API)

IAM ユーザーは AWS API で作成できます。

(AWS API) からIAM ユーザーを作成するには

1. ユーザーを作成します。

   • CreateUser

2. (オプション) ユーザーに AWS Management Console へのアクセス権を付与します。これにはパスワードが必要です。また、アカウントのサインインページの URL をユーザーに提供する必要があります。

   • CreateLoginProfile

3. (オプション) ユーザーにプログラムによりアクセス権を付与します。これにはアクセスキーが必要です。

   • CreateAccessKey

     重要

     シークレットアクセスキーを表示またはダウンロードできるのはこのときだけです。AWS API を使用する前に、ユーザーにこの情報を提供する必要があります。ユーザーの新しいアクセスキー ID とシークレットアクセスキーは、安全な場所に保存してください。このステップを行った後に、シークレットキーに再度アクセスすることはできません。

4. ユーザーを 1 つまたは複数のグループに追加します。指定したグループには、ユーザーに対して適切なアクセス権限を付与するポリシーがアタッチされている必要があります。

   • AddUserToGroup

5. (オプション) ユーザーのアクセス権限を定義するポリシーをユーザーにアタッチします。注意: ユーザーのアクセス許可の管理は、ユーザーをグループに追加してグループにポリシーをアタッチすることで (ユーザーに直接アタッチするのではなく) 行うことをお勧めします。

   • AttachUserPolicy

6. (オプション) タグをアタッチして、カスタム属性をユーザーに追加します。詳細については、「IAM ユーザーのタグの管理 ( AWS CLI または AWS API)」を参照してください。

7. (オプション) ユーザーに自身のセキュリティ認証情報を管理する権限を与えることができます。詳細については、「AWS: MFA で認証された IAM ユーザーが [セキュリティ認証情報] ページで自分の認証情報を管理できるようにします」を参照してください。