IAM の使用開始 - AWS RoboMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM の使用開始

AWS Identity and Access Management (IAM) はサービスおよびリソースへのアクセスを安全に管理できる AWS サービスです。IAM は追加料金なしで提供される AWS アカウントの機能です。

注記

IAM を開始する前に、AWS RoboMaker の認証とアクセスコントロール の基本情報に目を通してください。

AWS アカウント を作成する場合は、このアカウントのすべての AWS のサービス とリソースに対して完全なアクセス権を持つ 1 つのサインインアイデンティティから始めます。この ID は AWS アカウント ルートユーザーと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることによってアクセスできます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報を保護し、それらを使用してルートユーザーのみが実行できるタスクを実行します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「IAM ユーザーガイド」の「ルートユーザー認証情報が必要なタスク」を参照してください。

IAM 管理者ユーザーを作成する

管理者ユーザーを作成するには、以下のいずれかのオプションを選択します。

管理者を管理する方法を 1 つ選択します To By 以下の操作も可能
IAM Identity Center 内

(推奨)

短期の認証情報を使用して AWS にアクセスします。

これはセキュリティのベストプラクティスと一致しています。ベストプラクティスの詳細については、IAM ユーザーガイドの「IAM でのセキュリティのベストプラクティス」を参照してください。

AWS IAM Identity Center ユーザーガイドの「開始方法」の手順に従います。 AWS Command Line Interface ユーザーガイドの「AWS IAM Identity Center を使用するための AWS CLI の設定」に従って、プログラムによるアクセスを設定します。
IAM 内

(非推奨)

長期認証情報を使用して AWS にアクセスする。 IAM ユーザーガイドの「最初の IAM 管理者のユーザーおよびグループの作成」の手順に従います。 IAM ユーザーガイドの「IAM ユーザーのアクセスキーの管理」に従って、プログラムによるアクセスを設定します。

AWS RoboMaker の委任ユーザーを作成する

AWS アカウントの複数のユーザーをサポートするには、許可するアクションのみ他のユーザーが実行できるようにアクセス許可を委任する必要があります。そのためには、そのようなユーザーが必要なアクセス許可を持つ IAM グループを作成し、IAM ユーザーの作成時に必要なグループに追加します。このプロセスを使用して、AWS アカウント全体のグループ、ユーザー、およびアクセス許可を設定できます。このソリューションは、AWS 管理者が手動でユーザーやグループを管理する中小企業で最もよく使用されます。大規模な組織では、カスタムの IAM ロールフェデレーション、またはシングルサインオンを使用できます。

委任されたユーザーに関する例と詳しい情報は、「IAM ユーザーガイド」の「IAM ユーザーに権限を委任するロールの作成」を参照してください。

認証情報の自己管理をユーザーに許可する

MFA を設定するには、ユーザーの仮想 MFA デバイスをホストするハードウェアに物理的にアクセスできる必要があります。例えば、スマートフォンで実行される仮想 MFA デバイスを使用するユーザー用に MFA を設定するとします。その場合、ウィザードを完了するには、そのスマートフォンを利用できる必要があります。このため、ユーザーが自分の仮想 MFA デバイスを設定して管理できるようにすることをお勧めします。この場合、必要な IAM アクションを実行する権限をユーザーに付与する必要があります。

必要な権限の付与に関するポリシーの例については、「IAM ユーザーガイド」の「IAM: IAMユーザーが MFA デバイスを自己管理できるようにする」を参照してください。

IAM ユーザーの MFA を有効にする

セキュリティを強化するために、すべての IAM ユーザーが多要素認証 (MFA) を設定して AWS RoboMaker リソースを保護することをお勧めします。MFA では、さらなるセキュリティが追加されます。ユーザーは、通常のサインイン認証情報に加えて、AWS でサポートされている MFA デバイスから一意の認証情報を提供することを求められるためです。セットアップ手順とMFA オプションに関する詳しい情報は、「IAM ユーザーガイド」の「AWS におけるユーザーの MFA デバイスの有効化」を参照してください。

注記

IAM ユーザーの MFA を設定するには、ユーザーの仮想 MFA デバイスをホストするモバイルデバイスに物理的にアクセスできる必要があります。