AWS アカウント で IAM ユーザーを作成する
重要
IAM ユーザーを作成して、このユーザーにタスクの実行を許可するステップは次のとおりです。
-
AWS Management Console、AWS CLI、Tools for Windows PowerShell で、または AWS API オペレーションを使用してユーザーを作成します。AWS Management Console でユーザーを作成する場合は、選択内容に基づいてステップ 1 ~ 4 が自動的に処理されます。ユーザーをプログラムにより作成した場合、各ステップを別個に実行する必要があります。
-
ユーザーに必要なアクセスのタイプに応じてユーザーの認証情報を作成します。
-
[コンソールアクセスを有効にする - オプション]: ユーザーが AWS Management Console にアクセスする必要がある場合は、該当ユーザーのパスワードを作成します。ユーザーのコンソールアクセスを無効にすると、ユーザー名とパスワードを使用して AWS Management Console にサインインできなくなります。アクセス許可を変更したり、想定されたロールを使用してコンソールにアクセスすることを妨げたりすることはありません。
ヒント
ユーザーが必要とする認証情報のみを作成します。例えば、AWS Management Console を介したアクセスのみ必要なユーザーには、アクセスキーを作成しないでください。
-
-
必要なタスクを実行するためのアクセス許可をユーザーに付与します。ユーザーをグループに配置し、アクセス許可の管理は、グループにアタッチされているポリシーを通して行うことをお勧めします。ただし、アクセス許可ポリシーをユーザーに直接アタッチして、アクセス許可を付与することもできます。コンソールを使用してユーザーを追加する場合は、既存のユーザーから新しいユーザーにアクセス許可をコピーできます。
ユーザーが持つことのできる最大アクセス許可を定義するポリシーを指定することで、アクセス許可の境界を追加してユーザーのアクセス許可を制限することもできます。アクセス許可の境界は、アクセス許可を付与しません。
アクセス許可の付与またはアクセス許可の境界の設定に使用するカスタムアクセス許可ポリシーを作成する手順については、「カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する」を参照してください。
-
(オプション) タグをアタッチして、メタデータをユーザーに追加します。IAM におけるタグの使用の詳細については、「AWS Identity and Access Management リソースのタグ」を参照してください。
-
必要なサインイン情報をユーザーに提供します。この情報には、ユーザーがアカウントのサインインページで認証情報として入力するパスワードやコンソールの URL が含まれます。詳細については、「IAM ユーザーが AWS にサインインする方法」を参照してください。
-
(オプション) ユーザーの 多要素認証 (MFA) を設定します。MFA では、ユーザーが AWS Management Console にサインインするたびに 1 回限り使用のコードを入力することが求められます。
-
(オプション) ユーザーに自分の認証情報を管理する権限を与えることができます。(デフォルト設定では、自身の認証情報を管理する権限は、ユーザーにはありません) 詳細については、「IAM ユーザーに自分のパスワード変更を許可する」を参照してください。
注記
コンソールを使用してユーザーを作成し、[ユーザーは次回サインイン時に新しいパスワードを作成する必要があります (推奨)] を選択した場合、ユーザーには必要なアクセス許可が付与されます。
ユーザーの作成に必要なアクセス許可の詳細については、「他の IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。
特定のユースケースのために IAM ユーザーを作成する手順については、次のトピックを参照してください。