AWSにサインインするユーザーの認証や認可を管理するIAMサービスを使ってみます。
rootユーザーの多要素認証
初期は、rootユーザーのMFA(多要素認証)が無効化された状態になっています。rootユーザーのアカウントのセキュリティを向上させるために、MFAを有効化していきます。まず、[MFAを追加]ボタンを押します。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0011.png)
[MFAを割り当てる]ボタンを押し次へ進みます。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0012.png)
使用するMFAデバイスを選択し、[次へ]ボタンを押して次へ進みます。ここでは、MFAデバイスとして認証アプリケーションを選択します。デバイス名は任意な名前です。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0013-2.png)
[QRコードを表示]を選択して表示されたQRコードを認証アプリでスキャンします。認証アプリで表示される6桁のコードをMFAコード1に入力し、認証アプリで次に更新された6桁のコードをMFAコード2に入力し、[MFAを追加]ボタンを押します。MFAコードに入力するコードは連続する6桁のコードである必要があります。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0014.png)
以上で、rootユーザーのMFAの設定は完了です。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0015.png)
次回以降、rootユーザーでAWSにサインインする場合に多要素認証のコード入力を求められるようになります。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0016.png)
IAMグループの作成
初期は、IAMユーザーに割り当てるグループが無い状態です。IAMユーザーに割り当てるグループを作成していきます。
[アクセス管理]-[ユーザーグループ]メニューを選択します。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0018-1.png)
[グループを作成]ボタンを押し次へ進みます。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0020.png)
任意のグループ名を入力し、[グループを作成]ボタンを押します。ここでは作成するグループにユーザーや許可ポリシーを割り当てできますが、それら設定はここでは割愛します。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0021.png)
以上で、IAMグループの作成は終わりです。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0022.png)
IAMユーザーの作成
初期は、root以外のユーザーがいない状態です。AWS Management Consoleにサインインできる IAMユーザーを作成していきます。
[アクセス管理]-[ユーザー]メニューを選択します。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0018.png)
[ユーザーを追加]ボタンを押し次へ進みます。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0017.png)
任意のユーザー名を入力して、AWSマネジメントコンソールへのユーザーアクセスを提供するオプションにチェックを付けて、IAMユーザーを作成するを指定して [次へ]ボタンを押します。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0026.png)
許可のオプションで、[ユーザーをグループに追加]を選択し、ユーザーに割り当てるグループにチェックを付けて[次へ]ボタンを押し次へ進みます。許可の境界を設定するオプション設定もありますが、ここでは割愛します。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0023-1.png)
作成するユーザーの確認です。AWSマネジメントコンソールへのユーザーアクセスを提供するオプションにチェックつけた場合、IAMUserChangePasswordの許可ポリシーが自動的に割り当てられます。問題なければ、[ユーザーの作成]ボタンを押します。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0027.png)
以上で、IAMユーザーの作成は終わりです。[.csvファイルをダウンロードする]ボタンを押すと、作成したユーザーがAWS マネジメントコンソールにサインインするための必要な情報が csvファイルに出力されます。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0029-1.png)
IAMユーザーの初回サインイン
作成したIAMユーザー用に発行されたコンソールサインインURLにアクセスして、自動的に生成された初期パスワードを入力してサインインします。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0030.png)
初回のサインインの時に、パスワードの変更を求められるのでパスワードの変更を行います。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0031.png)
パスワード変更を行うと、自動的にASWマネジメントコンソールにサインインします。
![](http://deraweb.dip.jp/wp-content/uploads/2023/07/aws0032.png)