IAM の準備作業 - AWS Identity and Access Management
AWS アカウントへのサインアップ管理アクセス権を持つユーザーを作成する最小特権アクセス許可に備える

IAM の準備作業

重要

IAM ベストプラクティスでは、長期的な認証情報を持つIAMユーザーを使用するのではなく、一時的な認証情報を使用して AWS にアクセスするために、IDプロバイダーとのフェデレーションを使用することを人間ユーザーに求めることを推奨します。

AWS Identity and Access Management (IAM) により、Amazon Web Services (AWS) およびアカウントリソースへのアクセスを安全に管理することができます。IAM では、サインイン認証情報をプライベートに保持することもできます。IAM を使用するため、特別にサインアップしません。IAM の使用は無料です。

ユーザーやロールなどの ID に対し、アカウントのリソースに対するアクセス権を付与するには、IAM を使用します。例えば、AWS の外部で管理している社内ディレクトリの既存のユーザーに対し IAM を使用することや、AWS IAM Identity Center を使用して AWS 内にユーザーを作成することが考えられます。フェデレーション ID は、定義済の IAM ロールを引き受け、必要なリソースにアクセスします。IAM アイデンティティセンターの詳細については、「AWS IAM Identity Center ユーザーガイド」の「What is IAM Identity Center?」(IAM アイデンティティセンターとは) を参照してください。

注記

IAM は複数の AWS 製品と統合されています。IAM をサポートするサービスのリストについては、「IAM と連携する AWS のサービス」を参照してください。

トピック

AWS アカウントへのサインアップ

AWS アカウントがない場合は、以下のステップを実行して作成します。

AWS アカウントにサインアップするには

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

    AWS アカウントにサインアップすると、AWS アカウントのルートユーザーが作成されます。ルートユーザーには、アカウントのすべてのAWS のサービスとリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

サインアップ処理が完了すると、AWS からユーザーに確認メールが送信されます。https://aws.amazon.com/[マイアカウント] を選んで、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理できます。

管理アクセス権を持つユーザーを作成する

AWS アカウント にサインアップしたら、AWS アカウントのルートユーザー をセキュリティで保護し、AWS IAM Identity Center を有効にして、管理ユーザーを作成します。これにより、日常的なタスクにルートユーザーを使用しないようにします。

AWS アカウントのルートユーザーをセキュリティで保護する

  1. [ルートユーザー] を選択し、AWS アカウントのメールアドレスを入力して、アカウント所有者として AWS Management Console にサインインします。次のページでパスワードを入力します。

    ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「ルートユーザーとしてサインインする」を参照してください。

  2. ルートユーザーの多要素認証 (MFA) を有効にします。

    手順については、IAM ユーザーガイドの「AWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。

管理アクセス権を持つユーザーを作成する

  1. IAM アイデンティティセンターを有効にします。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Center の有効化」を参照してください。

  2. IAM アイデンティティセンターで、ユーザーに管理アクセス権を付与します。

    IAM アイデンティティセンターディレクトリ をアイデンティティソースとして使用するチュートリアルについては、「AWS IAM Identity Center ユーザーガイド」の「デフォルト IAM アイデンティティセンターディレクトリを使用したユーザーアクセスの設定」を参照してください。

管理アクセス権を持つユーザーとしてサインインする

  • IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

    IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「AWS アクセスポータルにサインインする」を参照してください。

追加のユーザーにアクセス権を割り当てる

  1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するベストプラクティスに従うアクセス許可セットを作成します。

    「AWS IAM Identity Center ユーザーガイド」の「Create a permission set」の手順に従ってください。

  2. ユーザーをグループに割り当ててから、そのグループにシングルサインオンアクセスを割り当てます。

    手順については、「AWS IAM Identity Center ユーザーガイド」の「Add groups」を参照してください。

最小特権アクセス許可に備える

最小特権のアクセス許可の使用は、IAM のベストプラクティスの推奨事項です。最小特権アクセス許可のコンセプトは、タスクを実行するにあたり必要となるアクセス権限のみをユーザーに付与することです。設定したら、最小特権アクセス許可をどのようにサポートするかを検討してください。ルートユーザーと管理者ユーザーの両方に、日常のタスクには必要ない強力なアクセス許可があります。AWS について学び、さまざまなサービスをテストしている間は、IAM Identity Center で、異なるシナリオで使用できる、より少ないアクセス許可を持つ少なくとも 1 人の追加ユーザーを作成することをお勧めします。IAM ポリシーを使用して、特定の条件下で特定のリソースに対して実行できるアクションを定義し、より少ない特権アカウントでそれらのリソースに接続することができます。

IAM Identity Center を使用している場合は、IAM Identity Center の許可セットを使用して開始することを検討してください。詳細については、IAM Identity Center ユーザーガイドの「権限セットの作成」を参照してください。

IAM Identity Center を使用しない場合は、IAM ロールを使用してさまざまな IAM エンティティにアクセス許可を定義します。詳細については、「IAM ロールの作成」を参照してください。

IAM ロールと IAM Identity Center 許可セットはどちらも、職務に基づく AWS 管理ポリシーを使用できます。これらのポリシーによって付与される許可の詳細については、「AWSジョブ機能の 管理ポリシー」を参照してください。

重要

AWS 管理ポリシーは、すべての AWS のユーザーが使用できるため、特定のユースケースに対して最小特権のアクセス許可が付与されない場合があることに留意してください。セットアップが完了したら、IAM Access Analyzer を使用して、AWS CloudTrail に記録しているアクセスアクティビティに基づいて、最小特権ポリシーを生成することをお勧めします。ポリシー生成の詳細については、「IAM Access Analyzer ポリシーの生成」を参照してください。