翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM 管理グループの作成
ベストプラクティスとして、 を使用して AWSを含む と AWS アカウントのルートユーザー やり取りしないでください AWS CloudHSM。代わりに、 AWS Identity and Access Management (IAM) を使用して IAM ユーザー、IAM ロール、またはフェデレーティッドユーザーを作成します。セクションの手順に従ってIAM ユーザーおよび管理者グループの作成管理者グループを作成し、AdministratorAccessポリシーをアタッチします。次に新しい管理者ユーザーを作成し、ユーザーをグループに追加します。必要に応じて、追加のユーザーをグループに追加します。追加した各ユーザーは、グループからAdministratorAccessポリシーを継承します。
もう 1 つのベストプラクティスは、 の実行に必要なアクセス許可のみを持つ AWS CloudHSM 管理者グループを作成することです AWS CloudHSM。必要に応じて個々のユーザーをこのグループに追加します。 AWS へのフルアクセスではなく、グループにアタッチされた制限付きのアクセス許可が各ユーザーに継承されます。次ののカスタマー管理ポリシー AWS CloudHSMセクションには、 AWS CloudHSM 管理者グループにアタッチする必要があるポリシーが含まれています。
AWS CloudHSM は、 AWS アカウントのサービスにリンクされたロールを定義します。現在、サービスにリンクされたロールは、アカウントが AWS CloudHSM イベントをログ記録できるようにするアクセス許可を定義します。ロールは、ユーザーが自動 AWS CloudHSM または手動で作成できます。ロールを編集することはできませんが、削除することはできます。詳細については、「のサービスにリンクされたロール AWS CloudHSM」を参照してください。
IAM ユーザーおよび管理者グループの作成
IAM ユーザーと、その管理者グループの作成から開始します。
にサインアップする AWS アカウント
がない場合は AWS アカウント、次の手順を実行して作成します。
にサインアップするには AWS アカウント
https://portal.aws.amazon.com/billing/signup
を開きます。 オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。
にサインアップすると AWS アカウント、 AWS アカウントのルートユーザーが作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/
管理アクセスを持つユーザーを作成する
にサインアップしたら AWS アカウント、 を保護し AWS アカウントのルートユーザー、 を有効にして AWS IAM Identity Center、日常的なタスクにルートユーザーを使用しないように管理ユーザーを作成します。
のセキュリティ保護 AWS アカウントのルートユーザー
-
ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者AWS Management Console
として にサインインします。次のページでパスワードを入力します。 ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「ルートユーザーとしてサインインする」を参照してください。
-
ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、「IAM ユーザーガイド」の AWS アカウント 「ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。
管理アクセスを持つユーザーを作成する
-
IAM アイデンティティセンターを有効にします。
手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Centerの有効化」を参照してください。
-
IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、「 ユーザーガイド」の「デフォルト でユーザーアクセス IAM アイデンティティセンターディレクトリを設定するAWS IAM Identity Center 」を参照してください。
管理アクセス権を持つユーザーとしてサインインする
-
IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、「 AWS サインイン ユーザーガイド」の AWS 「 アクセスポータルへのサインイン」を参照してください。
追加のユーザーにアクセス権を割り当てる
IAM ユーザーグループにアタッチ AWS CloudHSM できる のポリシーの例については、「」を参照してくださいの Identity and Access Management AWS CloudHSM。