# AWS アカウント で IAM ユーザーを作成する **重要** IAM [ベストプラクティス](best-practices.md)では、長期的な認証情報を持つIAMユーザーを使用するのではなく、一時的な認証情報を使用して AWS にアクセスするために、IDプロバイダーとのフェデレーションを使用することを人間ユーザーに求めることを推奨します。IAM ユーザーは、フェデレーションユーザーでサポートされていない[特定のユースケース](gs-identities-iam-users.md)にのみ使用することをお勧めします。 IAM ユーザーを作成して、このユーザーにタスクの実行を許可するステップは次のとおりです。 1. [ユーザーを AWS マネジメントコンソール、AWS CLI](getting-started-workloads.md)、Tools for Windows PowerShell で、または AWS API オペレーションを使用して作成します。AWS マネジメントコンソール でユーザーを作成する場合は、選択内容に基づいてステップ 1 ~ 4 が自動的に処理されます。IAM ユーザーをプログラムにより作成した場合、各ステップを別個に実行する必要があります。 1. ユーザーに必要なアクセスのタイプに応じてユーザーの認証情報を作成します。 + **[コンソールアクセスを有効にする - オプション]**: ユーザーが AWS マネジメントコンソール にアクセスする必要がある場合は、[該当ユーザーのパスワードを作成します](id_credentials_passwords_admin-change-user.md)。ユーザーのコンソールアクセスを無効にすると、ユーザー名とパスワードを使用して AWS マネジメントコンソール にサインインできなくなります。アクセス許可を変更したり、想定されたロールを使用してコンソールにアクセスすることを妨げたりすることはありません。 **ヒント** ユーザーが必要とする認証情報のみを作成します。例えば、AWS マネジメントコンソール を介したアクセスのみ必要なユーザーには、アクセスキーを作成しないでください。 1. 必要なタスクを実行するためのアクセス許可をユーザーに付与します。IAM ユーザーをグループに配置し、アクセス許可の管理は、グループにアタッチされているポリシーを通して行うことをお勧めします。ただし、アクセス許可ポリシーをユーザーに直接アタッチして、アクセス許可を付与することもできます。コンソールを使用してユーザーを追加する場合は、既存のユーザーから新しいユーザーにアクセス許可をコピーできます。 ユーザーが持つことのできる最大アクセス許可を定義するポリシーを指定することで、[アクセス許可の境界](access_policies_boundaries.md)を追加してユーザーのアクセス許可を制限することもできます。アクセス許可の境界は、アクセス許可を付与しません。 アクセス許可の付与またはアクセス許可の境界の設定に使用するカスタムアクセス許可ポリシーを作成する手順については、「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](access_policies_create.md)」を参照してください。 1. (オプション) タグをアタッチして、メタデータをユーザーに追加します。IAM におけるタグの使用の詳細については、「[AWS Identity and Access Management リソースのタグ](id_tags.md)」を参照してください。 1. 必要なサインイン情報をユーザーに提供します。この情報には、ユーザーがアカウントのサインインページで認証情報として入力するパスワードやコンソールの URL が含まれます。詳細については、「[IAM ユーザーが AWS にサインインする方法](id_users_sign-in.md)」を参照してください。 1. (オプション) ユーザーの [多要素認証 (MFA)](id_credentials_mfa.md) を設定します。MFA では、ユーザーが AWS マネジメントコンソール にサインインするたびに 1 回限り使用のコードを入力することが求められます。 1. (オプション) IAM ユーザーに自分の認証情報を管理する権限を与えることができます。(デフォルト設定では、自身の認証情報を管理する権限は、IAM ユーザーにはありません。) 詳細については、「[IAM ユーザーに自分のパスワード変更を許可する](id_credentials_passwords_enable-user-change.md)」を参照してください。 **注記** コンソールを使用してユーザーを作成し、**[ユーザーは次回サインイン時に新しいパスワードを作成する必要があります (推奨)]** を選択した場合、ユーザーには必要なアクセス許可が付与されます。 ユーザーの作成に必要なアクセス許可の詳細については、「[他の IAM リソースにアクセスするのに必要なアクセス許可](access_permissions-required.md)」を参照してください。 特定のユースケースのために IAM ユーザーを作成する手順については、次のトピックを参照してください。 + [緊急アクセス用の IAM ユーザーを作成する](getting-started-emergency-iam-user.md) + [IAM ロールを使用できないワークロード用の IAM ユーザーを作成する](getting-started-workloads.md)