AWSにおけるユーザー管理の重要性｜IAMを使用したAWSユーザー管理

AWSにおけるユーザー管理の重要性について

AWSにとってユーザー管理は非常に重要です。 AWSアカウントを作成すると、最初にまずルートユーザーアカウント（root）を作成し、rootでログインします。ただ、このrootユーザーで日々の作業を行うことは推奨されていません。 なぜなら、rootユーザーは作成したAWSアカウントに対して、制限なくアクセスできるからです。どうしても、rootユーザーでなければできない作業を除いて、通常の作業であれば権限を絞ったユーザーを作成して日々の作業を行うことになります。 そこで、AWSにはIdentity and Access Management（IAM）という管理ツールが用意されており、IAMを使用してユーザー作成などのユーザー管理作業を行います。

IAMを使用したAWSユーザー管理について

IAMは、AWSリソースに安全にアクセスするために使用されるツールで、ユーザーに対して、適切な認証と承認を制御することができます。 AWSアカウントを作成した際に、最初に作成するrootユーザーを使用してAWS Management Consoleにログインし、必要な権限のみを持ったユーザーアカウントを作成します。 ここでは、IAMツールを使用したユーザー管理の方法について記載します。

管理者ユーザー及びグループの作成

ここでは、rootユーザーの代わりに管理者ユーザー及びグループを作成する方法について記載します。 下記のような手順で、必要に応じてユーザーを作成しユーザー管理を行っていきます。

• rootユーザーでIAMコンソールにログインします。
• メニューの「グループ」をクリックし、「新しいグループの作成」を選択します。
• 作成するグループ名を入力し、次のステップへ。
• ポリシーのアタッチでAdministratorAccessポリシーにチェックを入れて次のステップへ。
• 内容を確認し、「グループの作成」をクリックすると管理権限を持ったグループが作成されます。
• メニューの「ユーザー」をクリックし、「ユーザーを追加」を選択します。
• 詳細画面でユーザー名を入力、AWSマネジメントコンソールへのアクセスにチェック、カスタムパスワードを選択し、パスワードを入力します。次のステップへ。
• アクセス権限の画面で、ユーザーをグループに追加を選択します。
• 先ほど作成したグループにチェックを入れて、次のステップへ。
• 詳細を確認し、「ユーザーを作成」をクリックするとユーザーが作成されます。

AWSアカウントへのサインイン

ここでは、上記の手順で作成したユーザーを使用して、AWSアカウントにサインインする方法について記載します。 以下のURLを入力して、AWS Management Consoleにログインします。 https://アカウントID or アカウントエイリアス.signin.aws.amazon.com/console アカウントエイリアスとは、IDの代わりに使用可能な名前でIAMコンソールから作成します。 エイリアスの作成手順 １．IAMコンソールのダッシュボード画面を開きます。 ２．中央のペインにサインインURLが記載されているので、「カスタマイズ」をクリックします。 ３．任意のエイリアス名を入力し、「エイリアスを作成」ボタンをクリックします。 以上の手順でエイリアスが作成されるので、エイリアスを使用してサインイン可能になります。

IAMコンソールでユーザー管理を行う

IAMコンソールを利用すれば、全てのユーザー及びグループ一覧の表示、名前の変更、削除などさまざまなユーザー管理操作を行うことができます。 ・ユーザー名の変更 ユーザー名の変更は、コンソール画面で行うことができません。AWS CLIあるいはAWS PowerShellを使用して行う必要があります。以下に、AWS CLIを使用してユーザー名の変更を行うコマンド例を記載します。 以下の例では、IAMユーザーをyamadaからsuzukiに変更しています。 aws iam update-user –user-name yamada –new-user-name suzuki ・ユーザーの削除 不要になったユーザーは、セキュリティの観点からも削除することがユーザー管理を行う上で重要となります。ユーザーの削除は、コンソール画面から行うことが可能です。以下に、コンソール画面からユーザーの削除を行う手順を記載します。 １．IAMコンソールのメニューから「ユーザー」をクリックし、ユーザーを選択します。 ２．該当するユーザーのチェックボックスをチェックします。 ３．画面上の「ユーザーの削除」をクリックします。 ４．メッセージダイアログボックスのチェックボックスをチェックし、「はい、削除します」をクリックすることによりユーザーが削除されます。

IAMグループを使用したユーザー管理

IAMグループを使用することにより、共通のポリシーを持った複数のユーザー管理を容易にすることができます。 IAMグループの特徴としては以下が挙げられます。 ・1つのグループに複数のユーザーを追加できる ・1つのユーザーは複数のグループに所属できる ・グループに追加できるのはユーザーのみで、グループ同士のネストはできない ・デフォルトのグループはないので、ユーザー作成時にグループも作成する必要がある ユーザーを個々に管理すると非常に煩雑になるので、できるだけグループを使用することが推奨されます。

ユーザーのパスワード管理

AWSユーザー管理するにあたり、もう1つ重要なのがパスワード管理になります。パスワードを適切に設定することにより、AWSアカウントが乗っ取られるリスクを抑えることができます。IAMコンソール上でパスワードポリシーを設定することにより、セキュリティを高めることが可能です。 ここでは、パスワードポリシーの設定方法、パスワード変更方法について記載します。

パスワードポリシーの設定について

IAMユーザーを作成すると、デフォルトのパスワードポリシーとして以下が割り当てられます。 ・文字数は8文字以上が必要 ・英字大文字、英字小文字、数字、英数字以外の文字の中で少なくとも3種類を使用する ※英数字以外の文字（! @ # $ % ^ & * ( ) _ + – = [ ] { } | ‘） ・アカウント名あるいはe-mailアドレスと同じではない 更にセキュリティを高めるためには、パスワードの有効期限を設定する、パスワードの再利用を禁止するなどの対策が有効となります。 パスワードポリシーの設定方法 １．IAMコンソールメニューの「アカウント設定」をクリックする。 ２．画面中央パスワードポリシーの「Change」をクリックする。 ３・ポリシー変更画面で、設定したい項目にチェックを入れ「変更の保存」をクリックする。

パスワードの変更について

上記でも記載しましたが、パスワードを定期的に変更することはセキュリティを高める点で非常に重要です。 ここでは、作成したユーザーのパスワードを変更する方法について記載します。 パスワード変更手順 1．IAMコンソールのメニューから「ユーザー」をクリックする。 2．変更対象のユーザー名のリンクをクリックする。 3．画面中央の認証情報タブをクリックする。 4．サインイン認証情報でコンソールのパスワードの右側の「管理」をクリックする。 5．自動生成パスワードあるいはカスタムパスワードを選択する。 6．カスタムパスワードの場合、自身で決めたパスワードを入力し適用をクリックする。 同じパスワードを使用し続けるのはリスクがあるので、定期的に変更することが推奨されます。

まとめ

今回は、IAMを使用してユーザー管理する方法をご紹介しました。 AWSアカウントを作成すれば必ず必要になる作業なので、AWSを使用する方は、最低限の使い方はマスターしておきましょう。]]>