AWS認定学習記録-Day1対応-part2(管理者用IAMユーザー)
今日のテーマ:Day1対応-管理者用IAMユーザーを作成する。
全開は多要素認証について記載させていただきましたが、
ちょっと昔の場合ですとAWSより「パスワードポリシーを変更してください」がありますので、ご参考程度になります。
・IAMの画面より、アカウント設定を選択し今の画面ですと「Change」をクリック
・パスワードポリシーの設定変更画面の参考はこちらです。
ただ、現在はあまりパスワードを定期的に変更しても逆にセキュリティ的にはよくないのではという観点もあり、定期的にパスワードを更新しない方針がよいかもしれないという事例もあります。
補足事例はここまでとして、本日のテーマになります。
・AWSマネイジメントコンソールのIAM画面に行きます。
・IAMユーザを新規に作成して、IAMポリシーにより管理者権限を設定します。
・IAMユーザーにログインします。
ダッシュボード上の補足:
IAMリソース:今使用しているIAMのリソースの項目についてのサマリー
ベストプラクティス:AWSより推奨されているセキュリティの設定推奨内容
最新機能:IAMのマネイジメントサービスが定期的に更新されるのでそのリリース内容
IDプロバイダー:SSOとの連携。
アクセス管理-ユーザを選択します。
・ユーザーを作成をクリック。※ダッシュボードの中央付近となります。
ユーザー名を記入して、アクセスの種類を選択します。
通常は、マネイジメントコンソールとCLIの2つ使用するため両方にチェックを入れます。
コンソールのパスワードは自動生成する初期パスワード、パスワードリセットは初期パスワードでログイン後にユーザで設定するパスワードとなります。
自分以外のほかの方のアカウントを作成する場合は、
パスワードリセットを入れておくとよいです。
必要な設定をしたら、「次のステップアクセス権限」をクリック。
今回はIAMユーザ単体で機能させるため、
既存のポリシーを直接アタッチを選択します。
管理者権限を付与するので「Administrator Access」にチェックを入れて次のステップ:タグをクリック。
チェック時はこちら
・使用者の分類わけでタグを付与します。
例:キー:Group、値:IT
(今回は種別を分ける必要がないため、未記入のままとします。)
・ユーザー作成時の設定画面がくるので値を確認後「ユーザーを作成」をクリック。
ユーザー作成が始まるとこちらになります。
他の方のユーザー作成後は、ログイン手順をEメールで送信よりEメールの送信をクリックし相手方に作成したアカウントの初期パスワードの更新などをしてもらいます。
業務では同じ部署のグループにまとめて同じポリシーを適用するケースが多いため、
まとめて同じ権限で管理するため、用途に応じたグループを作成します。
例:AWSの管理者は全アクセス権限、アプリ開発する方でDBの管理者はDBのみなど
・IAMのダッシュボードより、アクセス管理-グループを選択し新しいグループの作成をクリック。
今回は管理者用のグループ想定なのでadminとします。
・入力後は次のステップをクリック
※日本語が入力できないため英名で記載になります。
・該当するポリシーを選択し次のステップをクリック
・確認画面になるため、グループ名と適用するポリシーを確認後グループの作成をクリック
・グループの作成後、ユーザを所属させるため作成したグループ名をチェックしてグループのアクションよりグループにユーザーを追加を選択します。
・先程作成したユーザーを選択しユーザーの追加をクリック
通常会社などの組織で使用する場合は、
IAMユーザを作成しそのユーザーを使用してもらうことが推奨となります。
今回のテーマは以上です。