AWS アカウントでの IAM ユーザーの作成 - AWS Identity and Access Management

AWS アカウントでの IAM ユーザーの作成

AWS アカウントには 1 つ以上の IAM ユーザーを作成できます。新しいメンバーがチームに参加したり、AWS への API 呼び出しを必要とする新しいアプリケーションを作成したりする場合は、IAM ユーザーを作成することがあります。

重要

ウェブサイトで Amazon 製品を販売するための Product Advertising API に関する情報を探していてこのページを見つけた場合は、「Product Advertising API 5.0 ドキュメント」を参照してください。

このページに IAM コンソールから到達した場合は、サインイン済みであっても、アカウントに IAM ユーザーが含まれていない可能性があります。ロールを使用して AWS アカウント ルートユーザーとしてサインインするか、一時的な資格情報を使用してサインインすることができます。これらの IAM 認証情報については、「IAM ID (ユーザー、ユーザーグループ、ロール)」を参照してください。

ユーザーを作成して、このユーザーに作業タスクの実行を許可するステップは以下のとおりです。

  1. AWS Management Console、AWS CLI、Tools for Windows PowerShell で、または AWS API オペレーションを使用してユーザーを作成します。AWS Management Console でユーザーを作成する場合は、選択内容に基づいてステップ 1 ~ 4 が自動的に処理されます。ユーザーをプログラムにより作成した場合、各ステップを別個に実行する必要があります。

  2. ユーザーに必要なアクセスのタイプに応じてユーザーの認証情報を作成します。

    • プログラムによるアクセス: IAM ユーザーは API 呼び出しを行う必要がある場合があります。AWS CLI または Tools for Windows PowerShell を使用します。この場合、該当ユーザーのアクセスキー (アクセスキー ID とシークレットアクセスキー) を作成します。

    • AWS Management Console アクセス: ユーザーが AWS Management Console にアクセスする必要がある場合は、該当ユーザーのパスワードを作成します。ユーザーのコンソールアクセスを無効にすると、ユーザー名とパスワードを使用して AWS Management Console にサインインできなくなります。アクセス許可を変更したり、引き受けたロールを使用してコンソールにアクセスできないようにしたりすることはありません。

    ベストプラクティスとして、ユーザーが必要とする認証情報のみを作成します。たとえば、AWS Management Console を介したアクセスのみ必要なユーザーには、アクセスキーを作成しないでください。

  3. ユーザーを 1 つ以上のグループに追加することで、必要なタスクを実行するアクセス権限を付与します。アクセス許可ポリシーをユーザーに直接アタッチして、アクセス許可を付与することもできます。ただし、ユーザーをグループに配置し、アクセス権限の管理は、グループにアタッチされているポリシーを通して行うことをお勧めします。アクセス許可の境界を使用してユーザーのアクセス許可を制限することもできます。ただし、これは一般的ではありません。

  4. (オプション) タグをアタッチして、メタデータをユーザーに追加します。IAM におけるタグの使用の詳細については、「IAM リソースのタグ付け」を参照してください。

  5. 必要なサインイン情報をユーザーに提供します。この情報には、ユーザーがアカウントのサインインページで認証情報として入力するパスワードやコンソールの URL が含まれます。詳細については、「IAM ユーザーが AWS にサインインする方法」を参照してください。

  6. (オプション) ユーザーの 多要素認証 (MFA) を設定します。MFA では、ユーザーが AWS Management Console にサインインするたびに 1 回限り使用のコードを入力することが求められます。

  7. (オプション) ユーザーに自分の認証情報を管理する権限を与えることができます。(デフォルト設定では、自身の認証情報を管理する権限は、ユーザーにはありません) 詳細については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

ユーザーの作成に必要なアクセス許可の詳細については、「他の IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。

IAM ユーザーの作成(コンソール)

IAM ユーザーは AWS Management Console で作成できます。

1 つ以上の IAM ユーザーを作成するには (コンソール)

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users] (ユーザー)、[Add user] (ユーザーを追加する) の順に選択します。

  3. 新しいユーザーのユーザー名を入力します。これは、AWS のサインイン名です。複数のユーザーを追加する場合、追加のユーザーごとに [Add another user] (別のユーザーの追加) を選択し、それらのユーザーのユーザー名を入力します。同時に追加できるユーザーは、10 ユーザーまでです。

    注記

    AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「IAM クォータおよび AWS STS クォータ、名前の要件、および文字の制限」を参照してください。ユーザー名は、最大 64 文字の英数字、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、アンダースコア (_)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。たとえば、TESTUSER というユーザーと testuser というユーザーを作成することはできません。

  4. このユーザーセットに付与するアクセス許可の種類を選択します。プログラムによるアクセス、AWS Management Console へのアクセス、またはその両方を選択できます。

    • ユーザーに API、AWS CLI、または Tools for Windows PowerShell へのアクセスが必要な場合、[Programmatic access (プログラムによるアクセス)] を選択します。これにより、新しいユーザーごとにアクセスキーが作成されます。[Final] (最終) ページに到達すると、アクセスキーを表示またはダウンロードできます。

    • ユーザーに AWS Management Console へのアクセスが必要な場合は、[AWS Management Console のアクセス] を選択します。これにより、新しいユーザーごとにパスワードが作成されます。

    1. [Console password (コンソールのパスワード)] で、以下のいずれかを選択します。

      • [Autogenerated password]。各ユーザーは、アカウントのパスワードポリシーの要件を満たすランダムに生成されたパスワードを取得します。[Final] ページに到達すると、パスワードを表示またはダウンロードできます。

      • [Custom password]。ボックスに入力したパスワードが各ユーザーに割り当てられます。

    2. (オプション) ユーザーに初回サインイン時にパスワードの変更を強制するため、[パスワードのリセットが必要] を選択することをお勧めします。

      注記

      管理者が [Allow users to change their own password] (ユーザーにパスワードの変更を許可) のアカウントのパスワードポリシー設定を有効にしている場合、このチェックボックスには何の効果もありません。それ以外の場合は、IAMUserChangePassword という名前の AWS マネージドポリシーが自動的に新しいユーザーにアタッチされます。ポリシーは、ユーザーに対して、各自のパスワードを変更するためのアクセス許可を付与します。

  5. [Next: Permissions (次へ: アクセス許可)] を選択します。

  6. [Set permissions] (アクセス許可の設定) ページで、一連の新しいユーザーにアクセス許可を割り当てる方法を指定します。以下の 3 つのオプションのいずれかを選択します。

    • [ユーザーをグループに追加]。アクセス許可ポリシーがすでに付与されている 1 つ以上のグループにユーザーを割り当てる場合は、このオプションを選択します。IAM は、アカウント内のグループおよびアタッチされているポリシーを一覧表示します。1 つ以上の既存のグループを選択するか、[グループの作成] を選択して新しいグループを作成する必要があります。詳細については、「IAM ユーザーのアクセス許可の変更」を参照してください。

    • [Copy permissions from existing user (既存ユーザーからアクセス許可をコピー)]。グループメンバーシップ、アタッチされている管理ポリシー、埋め込まれているインラインポリシー、および既存のアクセス許可の境界のすべてを既存のユーザーから新しいユーザーにコピーする場合は、このオプションを選択します。IAM は、アカウント内のユーザーを一覧表示します。アクセス権限が新しいユーザーのニーズに最も近いにユーザーを選択します。

    • 既存のポリシーを直接アタッチします。アカウント内の AWS 管理ポリシーとカスタマー管理ポリシーを一覧表示する場合は、このオプションを選択します。新しいユーザーにアタッチするポリシーを選択します。または、[ポリシーの作成] を選択して、新しいブラウザタブを開き、新しいポリシーをゼロから作成します。詳細については、「IAM ポリシーの作成」のステップ 4 を参照してください。ポリシーを作成したら、そのタブを閉じて元のタブに戻り、新しいユーザーにポリシーを追加します。ベストプラクティスとして、代わりにポリシーをグループにアタッチし、ユーザーを適切なグループのメンバーにすることをお勧めします。

  7. (オプション) アクセス許可の境界を設定します。これはアドバンスド機能です。

    [Set permissions boundary (アクセス許可の境界の設定)] セクションを開き、[Use a permissions boundary to control the maximum user permissions (アクセス許可の境界を使用してユーザーのアクセス許可の上限を設定する)] を選択します。IAM は、アカウント内の AWS 管理ポリシーとカスタマー管理ポリシーを一覧表示します。アクセス許可の境界として使用するポリシーを選択するか、[ポリシーの作成] を選択して新しいブラウザタブを開き、新しいポリシーをゼロから作成します。詳細については、「IAM ポリシーの作成」のステップ 4 を参照してください。ポリシーを作成したら、そのタブを閉じて元のタブに戻り、アクセス許可の境界として使用するポリシーを選択します。

  8. [次へ: タグ] を選択します。

  9. (オプション) タグをキーバリューペアとしてアタッチして、メタデータをユーザーに追加します。IAM におけるタグの使用の詳細については、「IAM リソースのタグ付け」を参照してください。

  10. [Next: Review] (次へ: 確認) を選択し、この時点までに行ったすべての選択を確認します。続行する準備ができたら、[Create user] (ユーザーの作成) を選択します。

  11. ユーザーのアクセスキー (アクセスキー ID とシークレットアクセスキー) を表示するには、表示する各パスワードやアクセスキーの横にある [表示] をクリックします。アクセスキーを保存するには、[Download .csv] (.csv のダウンロード) を選択し、安全な場所にファイルを保存します。

    重要

    シークレットアクセスキーを表示またはダウンロードできるのはこのときだけです。AWS API を使用する前に、ユーザーにこの情報を提供する必要があります。ユーザーの新しいアクセスキー ID とシークレットアクセスキーは、安全な場所に保存してください。このステップを行った後に、シークレットキーに再度アクセスすることはできません。

  12. 自身の認証情報を使用して各ユーザーに提供します。最後のページで、各ユーザーの横の [Send email (E メールの送信)] を選択できます。ローカルメールクライアントに下書きが表示され、カスタマイズして送信できます。メールのテンプレートは、各ユーザーの以下の詳細が含まれています。

    • [User name] (ユーザー名)

    • アカウントのサインインページへの URL。次の例を使用して、適切なアカウント ID またはアカウントエイリアスと置き換えます。

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    詳細については、「IAM ユーザーが AWS にサインインする方法」を参照してください。

    重要

    ユーザーのパスワードは、生成されたメールには記載されていません。組織のセキュリティガイドラインに従った方法でお客様に伝える必要があります。

IAM ユーザーの作成 (AWS CLI)

IAM ユーザーは AWS CLI で作成できます。

IAM ユーザーを作成するには (AWS CLI)

  1. ユーザーを作成します。

  2. (オプション) ユーザーに AWS Management Console へのアクセス権を付与します。これにはパスワードが必要です。また、アカウントのサインインページの URL をユーザーに提供する必要があります。

  3. (オプション) ユーザーにプログラムによりアクセス権を付与します。これにはアクセスキーが必要です。

    • aws iam create-access-key

    • Tools for Windows PowerShell: New-IAMAccessKey

    • IAM API: CreateAccessKey

      重要

      シークレットアクセスキーを表示またはダウンロードできるのはこのときだけです。AWS API を使用する前に、ユーザーにこの情報を提供する必要があります。ユーザーの新しいアクセスキー ID とシークレットアクセスキーは、安全な場所に保存してください。このステップを行った後に、シークレットキーに再度アクセスすることはできません。

  4. ユーザーを 1 つまたは複数のグループに追加します。指定したグループには、ユーザーに対して適切なアクセス権限を付与するポリシーがアタッチされている必要があります。

  5. (オプション) ユーザーのアクセス権限を定義するポリシーをユーザーにアタッチします。注意: ユーザーのアクセス許可の管理は、ユーザーをグループに追加してグループにポリシーをアタッチすることで (ユーザーに直接アタッチするのではなく) 行うことをお勧めします。

  6. (オプション) タグをアタッチして、カスタム属性をユーザーに追加します。詳細については、「IAM ユーザーのタグの管理 ( AWS CLI または AWS API)」を参照してください。

  7. (オプション) ユーザーに自身のセキュリティ認証情報を管理する権限を与えることができます。詳細については、「AWS: MFA で認証された IAM ユーザーが [My Security Credentials] (マイセキュリティ資格情報) ページで自分の認証情報を管理できるようにする」を参照してください。

IAM ユーザーの作成 (AWS API)

IAM ユーザーは AWS API で作成できます。

(AWS API) からIAM ユーザーを作成するには

  1. ユーザーを作成します。

  2. (オプション) ユーザーに AWS Management Console へのアクセス権を付与します。これにはパスワードが必要です。また、アカウントのサインインページの URL をユーザーに提供する必要があります。

  3. (オプション) ユーザーにプログラムによりアクセス権を付与します。これにはアクセスキーが必要です。

    • CreateAccessKey

      重要

      シークレットアクセスキーを表示またはダウンロードできるのはこのときだけです。AWS API を使用する前に、ユーザーにこの情報を提供する必要があります。ユーザーの新しいアクセスキー ID とシークレットアクセスキーは、安全な場所に保存してください。このステップを行った後に、シークレットキーに再度アクセスすることはできません。

  4. ユーザーを 1 つまたは複数のグループに追加します。指定したグループには、ユーザーに対して適切なアクセス権限を付与するポリシーがアタッチされている必要があります。

  5. (オプション) ユーザーのアクセス権限を定義するポリシーをユーザーにアタッチします。注意: ユーザーのアクセス許可の管理は、ユーザーをグループに追加してグループにポリシーをアタッチすることで (ユーザーに直接アタッチするのではなく) 行うことをお勧めします。

  6. (オプション) タグをアタッチして、カスタム属性をユーザーに追加します。詳細については、「IAM ユーザーのタグの管理 ( AWS CLI または AWS API)」を参照してください。

  7. (オプション) ユーザーに自身のセキュリティ認証情報を管理する権限を与えることができます。詳細については、「AWS: MFA で認証された IAM ユーザーが [My Security Credentials] (マイセキュリティ資格情報) ページで自分の認証情報を管理できるようにする」を参照してください。