logo

TechCodeview

IAM ユーザー

  • IAM ユーザーは、AWS リソースと対話する方法を提供する AWS で作成されたエンティティです。
  • IAM ユーザーの主な目的は、AWS マネジメント コンソールにサインインし、AWS サービスにリクエストを行うことができることです。
  • 新たに作成されたもの IAMユーザー パスワードもアクセスキーもありません。ユーザーが AWS マネジメントコンソールを使用して AWS リソースを使用したい場合は、ユーザーのパスワードを作成する必要があります。ユーザーが AWS をプログラム的に (CLI (コマンドラインインターフェイス) を使用して) 使用して対話したい場合は、そのユーザーのアクセスキーを作成する必要があります。 IAM ユーザー用に作成された認証情報は、AWS に対して自分自身を正確に一意に識別するものです。
  • ユーザーの資格情報のセキュリティは、多要素認証などの機能を使用することで強化できます。
  • 新しく作成された IAM ユーザーには権限がありません。つまり、AWS リソースへのアクセスが許可されていません。
  • 個別の IAM ユーザーを使用する利点は、権限を個別に割り当てることができることです。 AWS リソースを管理したり、他の IAM ユーザーを管理したりできる管理者権限を割り当てることもできます。
  • 主に、ユーザーの権限は AWS のタスクとリソース、つまり IAM ユーザーに割り当てられたジョブに設定されます。たとえば、Advita という名前の IAM ユーザーを作成し、そのユーザーのパスワードを作成し、Amazon EC2 インスタンスを起動して Amazon RDS データベースからデータを読み取るためのアクセス許可を設定します。
  • 各 IAM ユーザーは、1 つの AWS アカウントにのみ関連付けられます。
  • ユーザーはアカウント内で定義されるため、ユーザーは支払いを行う必要はありません。ユーザーが実行した AWS アクティビティはすべて、アカウントに請求されます。

IAM ユーザーは必ずしも人間である必要はありません

IAM ユーザーは必ずしも人々を代表するとは限りません。 IAM ユーザーは、関連付けられた権限を持つ単なるアイデンティティです。 AWS サービスにアクセスするために認証情報が必要なアプリケーションを表す IAM ユーザーを作成することもできます。

IAM ユーザーの作成 (AWS マネジメントコンソール)

AWS マネジメントコンソールを使用してユーザーを作成するには:

  • AWS マネジメントコンソールにサインインします。
  • https://console.aws.amazon.com/iam/home?region=us-east-2#/home で IAM コンソールを開きます。以下のような画面が表示されます。
IAM ユーザー
  • ナビゲーション ペインで、[ユーザー] をクリックします。 「ユーザー」をクリックすると、以下の画面が表示されます。
IAM ユーザー
  • 「ユーザーの追加」をクリックして、新しいユーザーをアカウントに追加します。 「ユーザーの追加」をクリックすると、次のような画面が表示されます。
IAM ユーザー
  • 作成するユーザーのユーザー名を入力します。一度に 5 人のユーザーを作成できます。
  • AWS アクセス タイプを選択します。ユーザーにプログラムによるアクセス、AWS マネジメント コンソールへのアクセス、またはその両方を付与したいとします。
  • ユーザーにセキュリティ資格情報を管理する権限を与えることもできます。

IAM ユーザーの作成 (CLI または API)

  • ユーザーを作成する
 CLI command: aws iam create-user API command: CreateUser
  • ユーザーに AWS マネジメントコンソールを使用させる場合に必要となる、パスワードなどのセキュリティ認証情報をユーザーに割り当てることができます。
 CLI command: aws iam create-login-profile API command: CreateLoginProfile
  • ユーザーがプログラムで AWS リソースにアクセスする必要がある場合に必要となる、ユーザーのアクセス キーを作成します。
 CLI command: aws iam create-access-key API command: CreateAccessKey
  • 権限を定義するポリシーをユーザーにアタッチします。
 CLI command: aws iam attach-user-policy API command: AttachUserPolicy
  • ユーザーは 1 つ以上のグループに追加できます。
 CLI command: aws iam add-user-to-group API command: AddUserToGroup

IAM ユーザーが AWS アカウントにサインインする方法

  • リンク https://us-east-1.signin.aws.amazon.com/ を開いて、AWS アカウントにサインインします。
IAM ユーザー
  • IAM ユーザーは、割り当てられたユーザー名とパスワードを入力して IAM コンソールにログインします。

IAM ユーザーのリスト (AWS マネジメントコンソール)

  • E メールアドレスとパスワードを入力して、AWS マネジメントコンソールにサインインします。
  • IAM コンソールを開きます。
  • ナビゲーション ペインで [ユーザー] をクリックすると、以下の画面が表示されます。
IAM ユーザー

上の画面では、 すでにユーザーです MyUser という名前の存在します。

グループ内のすべてのユーザーのリスト (AWS マネジメントコンソール)

  • E メールアドレスとパスワードを入力して、AWS マネジメントコンソールにサインインします。
  • IAM コンソールを開きます。
  • ナビゲーション ペインでグループをクリックすると、次の画面が表示されます。
IAM ユーザー

上の画面はグループが存在しないことを示しています

すべてのユーザーのリスト (CLI および API)

  • アカウント内のすべてのユーザーをリストします。
 CLI command : aws iam list-users API command : ListUsers
  • 特定のグループ内のユーザーをリストします。
 CLI command : aws iam get-group API command : GetGroup
  • 特定のユーザーが存在するすべてのグループをリストします。
 CLI command : aws iam list-groups-for-user API command : ListGroupsForUser

IAM ユーザーを削除する (AWS マネジメントコンソール)

  • AWS マネジメントコンソールにサインインします。
  • IAM コンソールを開きます。
  • ナビゲーションペインで、「ユーザー」をクリックします。
  • ユーザー名の横に表示されるチェックボックスをオンにします。
IAM ユーザー
  • ページ上部の「ユーザーアクション」リストから、「ユーザーの削除」を選択します。
IAM ユーザー
  • 「はい、削除します」をクリックします。

IAM ユーザーを削除する (AWS CLI)

  • ユーザーのキーと証明書を削除すると、ユーザーは AWS アカウントにアクセスできなくなります。
 aws iam delete-access-key aws iam delete-signing-certificate
  • ユーザーにパスワードが含まれている場合は、ユーザーのパスワードを削除します。
 aws iam delete-login-profile
  • ユーザーが MFA デバイスを持っている場合は、それを非アクティブ化します。
 aws iam deactivate-mfa-device
  • ユーザーにアタッチされているポリシーを切り離すこともできます。
 aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
  • ユーザーが所属していたグループのリストを取得し、グループからユーザーを削除します。
 aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
  • ユーザーを削除する
 aws iam delete-user