AWS Identity and Access Management
ユーザーガイド

AWS アカウントでの IAM ユーザーの作成

AWS アカウントには 1 つ以上の IAM ユーザーを作成できます。新しいメンバーがチームに参加したり、AWS への API コールを必要とする新しいアプリケーションを作成したりする場合は、IAM ユーザーを作成できます。

重要

アプリケーションやウェブサイト用の Amazon 広告を有効にする過程で、このページに到達した場合は、「Product Advertising API の開発者になる」を参照してください。

このページに IAM コンソールから到達した場合は、サインイン済みであっても、アカウントに IAM ユーザーが含まれていない可能性があります。AWS アカウントのルートユーザー、ロール、一時的な認証情報のいずれかを使用してサインインします。これらの IAM 認証情報については、「ID (ユーザー、グループ、ロール) 」を参照してください。

ユーザーを作成して、このユーザーに作業タスクの実行を許可するステップは以下のとおりです。

  1. AWS マネジメントコンソール、AWS CLI、Tools for Windows PowerShell、または AWS API オペレーションを使用してユーザーを作成します。AWS マネジメントコンソール でユーザーを作成する場合は、選択内容に基づいてステップ 1〜4 が自動的に処理されます。ユーザーをプログラムにより作成した場合、各ステップを別個に実行する必要があります。

  2. ユーザーに必要なアクセスのタイプに応じてユーザーの認証情報を作成します。

    • プログラムによるアクセス: IAM ユーザーは、必要に応じて API コール、AWS CLI、Tools for Windows PowerShell のいずれかを使用します。この場合、該当ユーザーのアクセスキー (アクセスキー ID とシークレットアクセスキー) を作成します。

    • AWS マネジメントコンソール アクセス: ユーザーが AWS マネジメントコンソール にアクセスする必要がある場合は、該当ユーザーのパスワードを作成します。

    ベストプラクティスとして、ユーザーが必要とする認証情報のみを作成します。たとえば、AWS マネジメントコンソール を介したアクセスのみ必要なユーザーには、アクセスキーを作成しないでください。

  3. ユーザーを 1 つ以上のグループに追加することで、必要なタスクを実行するアクセス権限を付与します。アクセス許可ポリシーをユーザーに直接アタッチして、アクセス許可を付与することもできます。ただし、ユーザーをグループに配置し、アクセス権限の管理は、グループにアタッチされているポリシーを通して行うことをお勧めします。アクセス許可の境界を使用してユーザーのアクセス許可を制限することもできます。ただし、これは一般的ではありません。

  4. 必要なサインイン情報をユーザーに提供します。この情報には、ユーザーがアカウントのサインインページで認証情報として入力するパスワードやコンソールの URL が含まれます。詳細については、「IAM ユーザーが AWS にサインインする方法」を参照してください。

  5. (オプション) ユーザーのMulti-Factor Authentication (MFA) を設定します。MFA では、ユーザーが AWS マネジメントコンソール にサインインするたびに 1 回限り使用のコードを入力することが求められます。

  6. (オプション) ユーザーに自分の認証情報を管理する権限を与えることができます。 (デフォルト設定では、自身の認証情報を管理する権限は、ユーザーにはありません。)詳細については、「IAM ユーザーに自分のパスワードを変更する権限を付与する」を参照してください。

ユーザーの作成に必要なアクセス権限の詳細については、「他の IAM リソースにアクセスするのに必要なアクセス許可」を参照してください。

IAM ユーザーの作成 (コンソール)

IAM ユーザーは AWS マネジメントコンソール で作成できます。

1 つ以上の IAM ユーザーを作成するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [Users]、[Add user] の順に選択します。

  3. 新しいユーザーのユーザー名を入力します。これは、AWS のサインイン名です。複数のユーザーを同時に追加する場合、追加のユーザーごとに [Add another user] を選択し、それらのユーザーのユーザー名を入力します。同時に追加できるユーザーは、10 ユーザーまでです。

    注記

    ユーザー名は、最大 64 文字の英数字、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。たとえば、TESTUSER というユーザーと testuser というユーザーを作成することはできません。IAM エンティティに関する制限の詳細については、「IAM エンティティおよびオブジェクトの制限」を参照してください。

  4. このユーザーセットに付与するアクセス許可の種類を選択します。プログラムによるアクセス、AWS マネジメントコンソール へのアクセス、またはその両方を選択できます。

    • ユーザーに API、AWS CLI、または Tools for Windows PowerShell へのアクセスが必要な場合、[Programmatic access] を選択します。これにより、新しいユーザーごとにアクセスキーが作成されます。[Final] ページに到達すると、アクセスキーを表示またはダウンロードできます。

    • ユーザーに AWS マネジメントコンソール へのアクセスが必要な場合は、[AWS マネジメントコンソール access] を選択します。これにより、新しいユーザーごとにパスワードが作成されます。

    1. [Console password type] で、以下のいずれかを選択します。

      • [Autogenerated password]。現在有効なパスワードポリシーがある場合、このポリシーと合致するパスワードがランダムに生成されて各ユーザーに付与されます。[Final] ページに到達すると、パスワードを表示またはダウンロードできます。

      • [Custom password]。ボックスに入力したパスワードが各ユーザーに割り当てられます。

    2. (オプション) ユーザーに初回サインイン時にパスワードの変更を強制するため、[Require password reset] を選択することをお勧めします。

      注記

      アカウント全体に適用されるパスワードポリシー [Allow users to change their own password] を有効にしていない場合、[Require password reset] を選択すると、IAMUserChangePassword という名前の AWS 管理ポリシーが自動的に新しいユーザーにアタッチされ、自分のパスワードを変更するアクセス権限が付与されます。

  5. [Next: Permissions] を選択します。

  6. [Set permissions] ページで、一連の新しいユーザーにアクセス権限を割り当てる方法を指定します。以下の 3 つのオプションのいずれかを選択します。

    • [Add user to group]。アクセス許可ポリシーがすでに付与されている 1 つ以上のグループにユーザーを割り当てる場合は、このオプションを選択します。IAM は、アカウント内のグループおよびアタッチされているポリシーを一覧表示します。1 つ以上の既存のグループを選択するか、[Create group] を選択して新しいグループを作成する必要があります。詳細については、「IAM ユーザーのアクセス権限の変更」を参照してください。

    • [Copy permissions from existing user]。グループメンバーシップ、アタッチされている管理ポリシー、埋め込まれているインラインポリシー、および既存のアクセス許可の境界のすべてを既存のユーザーから新しいユーザーにコピーする場合は、このオプションを選択します。IAM は、アカウント内のユーザーを一覧表示します。アクセス権限が新しいユーザーのニーズに最も近いにユーザーを選択します。

    • [Attach existing policies to user directly (既存のポリシーをユーザーに直接アタッチ)]。アカウント内の AWS 管理ポリシーとカスタマー管理ポリシーを一覧表示する場合は、このオプションを選択します。新しいユーザーにアタッチするポリシーを選択するか、[Create policy] を選択して新しいブラウザタブを開き、新しいポリシーをゼロから作成します。詳細については、「IAM ポリシーの作成 (コンソール)」のステップ 4 を参照してください。ポリシーを作成したら、そのタブを閉じて元のタブに戻り、新しいユーザーにポリシーを追加します。ベストプラクティスとして、代わりにポリシーをグループにアタッチし、ユーザーを適切なグループのメンバーにすることをお勧めします。

  7. (オプション) アクセス許可の境界を設定します。これはアドバンスド機能です。

    [Set permissions boundary (アクセス許可の境界の設定)] セクションを開き、[Use a permissions boundary to control the maximum user permissions (アクセス許可の境界を使用してユーザーのアクセス許可の上限を設定する)] を選択します。IAM は、アカウント内の AWS 管理ポリシーとカスタマー管理ポリシーを一覧表示します。アクセス許可の境界として使用するポリシーを選択するか、[ポリシーの作成] を選択して新しいブラウザタブを開き、新しいポリシーをゼロから作成します。詳細については、「IAM ポリシーの作成 (コンソール)」のステップ 4 を参照してください。ポリシーを作成したら、そのタブを閉じて元のタブに戻り、アクセス許可の境界として使用するポリシーを選択します。

  8. [Next: Review] を選択し、この時点までに行ったすべての選択を確認します。続行する準備ができたら、[Create user] を選択します。

  9. ユーザーのアクセスキー (アクセスキー ID とシークレットアクセスキー) を表示するには、表示する各パスワードやアクセスキーの横にある [表示] をクリックします。アクセスキーを保存するには、[Download .csv] を選択し、安全な場所にファイルを保存します。

    重要

    シークレットアクセスキーを表示またはダウンロードできるのはこのときだけです。AWS API を使用する前に、ユーザーにこの情報を提供する必要があります。ユーザーの新しいアクセスキー ID とシークレットアクセスキーは、安全な場所に保存してください。このステップの後、シークレットキーに再度アクセスすることはできません。

  10. 自身の認証情報を使用して各ユーザーに提供します。最後のページで、各ユーザーの横の [Send email] を選択できます。ローカルメールクライアントに下書きが表示され、カスタマイズして送信できます。メールのテンプレートは、各ユーザーの以下の詳細が含まれています。

    • ユーザー名

    • アカウントのサインインページへの URL。次の例を使用して、適切なアカウント ID またはアカウントエイリアスと置き換えます。

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    詳細については、「IAM ユーザーが AWS にサインインする方法」を参照してください。

    重要

    ユーザーのパスワードは、生成されたメールには記載されていません。組織のセキュリティガイドラインに従った方法でお客様に伝える必要があります。

  11. (オプション) ユーザーに自身のセキュリティ認証情報を管理する権限を付与します。詳細については、「ユーザーが自分のパスワード、アクセスキー、SSH キーを管理することを許可する」を参照してください。

IAM ユーザーの作成 (AWS CLI)

IAM ユーザーは AWS CLI で作成できます。

IAM ユーザーを作成するには (AWS CLI)

  1. ユーザーを作成します。

  2. (オプション) ユーザーに AWS マネジメントコンソール へのアクセス権を付与します。これにはパスワードが必要です。また、アカウントのサインインページの URL をユーザーに提供する必要があります。

  3. (オプション) ユーザーにプログラムによりアクセス権を付与します。これにはアクセスキーが必要です。

  4. ユーザーを 1 つまたは複数のグループに追加します。指定したグループには、ユーザーに対して適切なアクセス権限を付与するポリシーがアタッチされている必要があります。

  5. (オプション)ユーザーのアクセス権限を定義するポリシーをユーザーにアタッチします。注意: ユーザーのアクセス権限の管理は、ユーザーをグループに追加してグループにポリシーをアタッチすることで (ユーザーに直接アタッチするのではなく) 行うことをお勧めします。

  6. (オプション) ユーザーに自分の認証情報を管理する権限を与えます。詳細については、「ユーザーが自分のパスワード、アクセスキー、SSH キーを管理することを許可する」を参照してください。

IAM ユーザーの作成 (AWS API)

IAM ユーザーは AWS API で作成できます。

IAM ユーザーを作成するには (AWS API)

  1. ユーザーを作成します。

  2. (オプション) ユーザーに AWS マネジメントコンソール へのアクセス権を付与します。これにはパスワードが必要です。また、アカウントのサインインページの URL をユーザーに提供する必要があります。

  3. (オプション) ユーザーにプログラムによりアクセス権を付与します。これにはアクセスキーが必要です。

    • CreateAccessKey

      重要

      シークレットアクセスキーを表示またはダウンロードできるのはこのときだけです。AWS API を使用する前に、ユーザーにこの情報を提供する必要があります。ユーザーの新しいアクセスキー ID とシークレットアクセスキーは、安全な場所に保存してください。このステップの後、シークレットキーに再度アクセスすることはできません。

  4. ユーザーを 1 つまたは複数のグループに追加します。指定したグループには、ユーザーに対して適切なアクセス権限を付与するポリシーがアタッチされている必要があります。

  5. (オプション)ユーザーのアクセス権限を定義するポリシーをユーザーにアタッチします。注意: ユーザーのアクセス権限の管理は、ユーザーをグループに追加してグループにポリシーをアタッチすることで (ユーザーに直接アタッチするのではなく) 行うことをお勧めします。

  6. (オプション) ユーザーに自分の認証情報を管理する権限を与えます。詳細については、「ユーザーが自分のパスワード、アクセスキー、SSH キーを管理することを許可する」を参照してください。