メインコンテンツまでスキップ

IAM Identity Center で作業用のユーザーを管理する

IAM Identity Center を利用するとローカル環境に AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY を保管する必要がないためセキュアになります。 組織で利用する場合は IAM Identity Center を利用しているケースも多いと思いますが、個人で作成した AWS アカウントも IAM Identity Center で管理することをお勧めします。

1. IAM Identity Center を有効にする

1.1. IAM Identity Center を開く

ルートユーザー、もしくは「AdministratorAccess」相当の権限を持ったユーザーでログインして、「IAM Identity Center」を開きます。

01_search-iam-identity-center

利用するリージョンの選択もお忘れなく。

02_select-region

1.2. IAM Identity Center を有効にする

03_enable-iam-identity-center

作成されると以下の画面が表示されます。

04_top

もし使っている aws アカウントが他の aws アカウントも組織として管理する場合は、「アカウントインスタンスの防止」をして IAM Identity Center の乱立を防止すべきですが、このドキュメントは個人アカウントを想定するため「アカウントインスタンスの防止」はスキップします。(警告が邪魔な場合は画面に従って設定してみてください)

2. ユーザーを作成

まずは、作業用に利用するユーザーを作成します。

05_user-list-empty

「ユーザーを追加」ボタンを押します。

2.1. ユーザーの詳細を入力

06_input-user-detail
  • ユーザー名
    • ログイン時に利用します。自分が管理しやすい名前にしておいてください。
  • メールアドレス
    • 受信可能なメールアドレスを設定しましょう。
    • 「パスワードの設定手順が記載された E メールをこのユーザーに送信します。」

下の任意項目は設定不要です。

2.2. グループの選択

07_input-group

設定不要なのでそのまま次に進んでください。

2.3. 入力内容を確認して作成

入力内容を確認して、「ユーザーを追加」ボタンでユーザーを作成します。

08_confirm-input-data

完了したらユーザー一覧に追加されます。

09_complete-creating-user

同時に招待メールが送信されますが、後から確認します。(先にユーザーに対して権限を設定したいので)

3. 許可セットを作成

ユーザーに割り当てするための許可セットを作成します。

10_permission-sets-list-empty

3.1. 作成する許可セットの種類を選択

「事前定義された許可セット」を選んで、「AdministratorAccess」を選択します。

11_select-permission-sets

3.2. 作成する許可セットの種類を選択

「許可セット名」や「セッション時間」を設定できます。管理しやすいように調整してください。

12_input-permission-sets-detail

3.3. 入力内容を確認して作成

入力した内容を確認して、「作成」を押すと許可セットが作成されます。

13_confirm-input-permission-sets
14_complete-creating-permission-set

4. 作成したユーザーに対して、許可セットを設定

AWSアカウントを選択して、「ユーザーまたはグループを割り当て」を選択します。

15_aws-account-list

4.1. 許可セットを追加したいユーザーを選択

ユーザーのタブを開いて、許可セットを設定したいユーザーをチェックボックスで指定します。 下の枠に表示されていたら、選択されている状態なので、そのまま次のページに行きます。

16_select-user

4.2. 選択したユーザーに設定したい許可セットを選択

前のページで選択したユーザーに対して割り当てする許可セットを選びます。

17_select-permission-sets

4.3. どのユーザーにどの許可セットを設定するか確認して適用

選択した内容を確認します。

18_confirm-attached-permission-sets

「送信」を押すとしばらく以下のようになります。

19_processing-settings

無事に処理が終わるとAWS アカウントの一覧ページが表示されます。

20_complete-aws-account

アカウント内で利用されている許可セットも表示されています。

コレで IAM Identity Center の設定は終わりです。

5. 作成したユーザーでログインする

ここからは、 IAM Identity Center で管理されているユーザーを操作することになります。

IAM Identity Center でユーザーを作成した時に招待メールが送信されているので、招待メールからログインに必要な設定をしていきます。

5.1. 招待メールを確認

以下のようなメールが届いているので、「Accept invitation」をクリックしましょう。

01_invitation-mail

5.2. パスワードを設定

ユーザーのパスワードを設定します。

02_input-password

5.3. ログイン

作成したユーザーでログインします。

ユーザー名はあらかじめ入力されているので次に進みます。

03_signin-user-username

するとパスワードを求められるので先ほど設定したパスワードを入力します。

04_signin-user-password

5.4. 多要素認証の設定

正しくログインできたら、多要素認証の設定をします。お好きな認証方法を選んでください。

05_signin-user-mfa

全ての例は示しませんが、認証アプリを使った例を次から提示しておきます。

認証アプリの例

06_choose-qr-code

認証アプリを入手しましょう。1Password があるなら 1Password を使うことをお勧めします(入力が楽になります)。Google Authenticator や Authy などもあるのでどれを利用するかのご判断はお任せします。

07_setting-qr-code

QRコードを表示して読み取ってください。そして認証アプリに表示された6桁のコードを入力します。

08_input-qr-code

認証が無事に完了すると、以下のようになります。

09_complete-qr-code

デバイス名をわかりやすい名前にしておくと、どのアプリで認証したか忘れないので便利です。

10_modify-device-name

設定を完了するとログイン画面が表示されます。

11_signin

6. ポータル画面

認証の設定が終わるとログインできるようになります。

6.1. ポータルから AWS コンソールを表示

ログインすると以下のようにポータル画面が表示されます。

12_portal

許可セット名のリンク(上記では「AdministratorAccess」のリンク)をクリックすると AWS のコンソールを表示できます。
※ 複数の許可セットを用意してユーザーに割り当てることで操作に応じた権限で AWS コンソールを操作できます。(あえて ReadOnlyAccess の許可セットを用意して操作ミスを防ぐ、といった使い方も可能です)

6.2. AWS コンソールのブックマーク(ショートカットリンク)を作成

毎回ポータルを表示するのが面倒な場合は、ショートカットリンクを作成できます。

13_portal-create-link-button

各項目を選択すると選択した内容に応じて一番下に表示されているリンクが変わります。

14_generate-shortcut-link

この生成したリンクをブックマークとして保存することでブックマークを開くだけで AWS のコンソールにアクセスできます。

15_create-bookmark

例: GoogleChromeのブックマーク

16_view-bookmark

AWS CLI を使う場合

AWS CLI の資料 を参考に設定してください。

まとめ

ユーザーの作成やログインは無事にできましたでしょうか?
最初にもお伝えした通り、 IAM Identity Center で管理されたユーザーをを利用するとローカル環境に AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY を保管する必要がないためセキュリティ的にも安全です。

今後 AWS のリソースを操作をするときは、ルートユーザーは普段は使わずに IAM Identity Center で作成したアカウントを使いましょう。