AWSにサインインするユーザーの認証や認可を管理するIAMサービスを使ってみます。

rootユーザーの多要素認証

初期は、rootユーザーのMFA(多要素認証)が無効化された状態になっています。rootユーザーのアカウントのセキュリティを向上させるために、MFAを有効化していきます。まず、[MFAを追加]ボタンを押します。

[MFAを割り当てる]ボタンを押し次へ進みます。

使用するMFAデバイスを選択し、[次へ]ボタンを押して次へ進みます。ここでは、MFAデバイスとして認証アプリケーションを選択します。デバイス名は任意な名前です。

[QRコードを表示]を選択して表示されたQRコードを認証アプリでスキャンします。認証アプリで表示される6桁のコードをMFAコード1に入力し、認証アプリで次に更新された6桁のコードをMFAコード2に入力し、[MFAを追加]ボタンを押します。MFAコードに入力するコードは連続する6桁のコードである必要があります。

以上で、rootユーザーのMFAの設定は完了です。

次回以降、rootユーザーでAWSにサインインする場合に多要素認証のコード入力を求められるようになります。

IAMグループの作成

初期は、IAMユーザーに割り当てるグループが無い状態です。IAMユーザーに割り当てるグループを作成していきます。

[アクセス管理]-[ユーザーグループ]メニューを選択します。

[グループを作成]ボタンを押し次へ進みます。

任意のグループ名を入力し、[グループを作成]ボタンを押します。ここでは作成するグループにユーザーや許可ポリシーを割り当てできますが、それら設定はここでは割愛します。

以上で、IAMグループの作成は終わりです。

IAMユーザーの作成

初期は、root以外のユーザーがいない状態です。AWS Management Consoleにサインインできる IAMユーザーを作成していきます。

[アクセス管理]-[ユーザー]メニューを選択します。

[ユーザーを追加]ボタンを押し次へ進みます。

任意のユーザー名を入力して、AWSマネジメントコンソールへのユーザーアクセスを提供するオプションにチェックを付けて、IAMユーザーを作成するを指定して [次へ]ボタンを押します。

許可のオプションで、[ユーザーをグループに追加]を選択し、ユーザーに割り当てるグループにチェックを付けて[次へ]ボタンを押し次へ進みます。許可の境界を設定するオプション設定もありますが、ここでは割愛します。

作成するユーザーの確認です。AWSマネジメントコンソールへのユーザーアクセスを提供するオプションにチェックつけた場合、IAMUserChangePasswordの許可ポリシーが自動的に割り当てられます。問題なければ、[ユーザーの作成]ボタンを押します。

以上で、IAMユーザーの作成は終わりです。[.csvファイルをダウンロードする]ボタンを押すと、作成したユーザーがAWS マネジメントコンソールにサインインするための必要な情報が csvファイルに出力されます。

IAMユーザーの初回サインイン

作成したIAMユーザー用に発行されたコンソールサインインURLにアクセスして、自動的に生成された初期パスワードを入力してサインインします。

初回のサインインの時に、パスワードの変更を求められるのでパスワードの変更を行います。

パスワード変更を行うと、自動的にASWマネジメントコンソールにサインインします。