【AWSアカウントを作成したらまずやっておきたい初期設定シリーズ第二弾】AWSを使おうとしてまずAWSアカウントを作成しますが、そのアカウントはいわゆる「rootアカウント」と呼ばれるものであり、そのアカウントに対して全ての権限を有する非常に強力なアカウントになります。普段の操作ではそこまでの権限は不要であり、意図しない誤操作を防ぐためにも、普段使いの管理アカウントは別に作っておくのが安全なAWS運用の基本となります。今回は、管理用のIAMユーザを作成し、MFAを設定するところまで行いたいと思います。

AWS管理用のIAMユーザ作成とMFA（多要素認証）の導入

<p>AWS を使おうとしてまず AWS アカウントを作成しますが、そのアカウントはいわゆる「root アカウント」と呼ばれるものであり、そのアカウントに対して全ての権限を有する非常に強力なアカウントになります。普段の操作ではそこまでの権限は不要であり、意図しない誤操作を防ぐためにも、普段使いの管理アカウントは別に作っておくのが安全な AWS運用の基本となります。今回は、管理用の IAM ユーザを作成し、MFA を設定するところまで行いたいと思います。</p>
<h2 id="管理用の-iam-ユーザ作成">管理用の IAM ユーザ作成</h2>
<p>まずは IAM ページを開きます。 画面左上の「サービス」をクリックし、サービスの一覧を表示させ、中央下部の「セキュリティ、アイデンティティ、コンプライアンス」にある「IAM 」をクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/aUzzNsQpvyYEYPpDx9hU.jpg" width="1200" height="1070" alt="IAM ページを開く"></div>
<p>「個々の IAM ユーザの作成」を選択して、「ユーザの管理」ボタンをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/GxIRvMlGW2xa5BM5VW8O.jpg" width="1200" height="556" alt="「個々の IAM ユーザの作成」選択後「ユーザの管理」ボタンをクリック"></div>
<p>この時点ではまだ IAM ユーザーは作成していませんので、一覧には何も表示されていませんね。左上にある「ユーザーを追加」ボタンをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/H9GCUuTPse9IndZEyoqa.jpg" width="1200" height="556" alt="「ユーザーを追加」ボタンをクリック"></div>
<p>任意のユーザ名を入力し、「AWS マネジメントコンソールへのアクセス」へチェックを入れて、「次のステップ：アクセス権限」ボタンをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/YgEGNV0goejxl5d3d0Wb.jpg" width="1200" height="866" alt="ユーザ名を入力"></div>
<p>ここでいくつかこの画面の設定項目を説明しておきます。</p>
<p>アクセスの種類「プログラムによるアクセス」にチェックを入れると、AWS API, CLI, SDK などの開発ツールで使用するアクセスキーとシークレットアクセスキーが発行されます。 現在作っている IAM ユーザは管理用であり、この部分は使用しないのでチェックはしません。 コンソールのパスワード「自動生成パスワード」「カスタムパスワード」を選ぶことができます。カスタムでも良いのですが、パスワードポリシーに従ってパスワードを設定する必要があるので少々手間です。 なのでここはひとまず、自動生成を選択しています。 パスワードのリセットが必要今回の作業で IAM ユーザが発行された後初めてのログインを行いますが、その時にパスワードを変更する手順を設けるかどうかの設定です。<br>
例えば、自分以外の人にアカウントを発行する場合などに使いますが、今回は変更の必要がないので、チェックを外しています。 では次の画面へ進みましょう。</p>
<h3 id="グループを作成して権限を設定する">グループを作成して権限を設定する</h3>
<p>権限設定の画面になったら、「グループの作成」ボタンをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/uL1zku8lFbRTLVjqkUJ8.jpg" width="1200" height="699" alt="グループの作成画面"></div>
<p>任意のグループ名を入力（管理用だとわかるネーミングがいいですね）し、ポリシータイプの一番上、「AdministratorAccess 」にチェックを入れて「グループの作成」をクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/ZGrqJqMcw0aX9yOXjnOR.png" width="1027" height="512" alt="グループの作成画面"></div>
<p>ちなみに、ポリシータイプ「AdministratorAccess 」は、管理権限になります。これを選ぶことで、このグループには管理者権限がフルで持てる事になります。</p>
<p>グループの作成が完了すると、以前の画面に戻り、先ほど作ったグループが表示されますので、チェックを入れ、「次のステップ：確認」ボタンをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/Qn0BiEmWmLpkSjxjxDJ9.jpg" width="1200" height="365" alt="IAM ユーザにグループを割り当てる"></div>
<p>次へ進むと、確認画面が表示されるので、内容を確認して、「ユーザーの作成」ボタンをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/rQH0FX1etqtGzijwe2nQ.jpg" width="1200" height="611" alt="ユーザ作成確認画面"></div>
<p>これで管理用の IAM ユーザが作成されました。ただしまだ安心しないでください！</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/rjYhEBlhCKcUX59xg7CX.jpg" width="1200" height="556" alt="csv のダウンロード"></div>
<p>左下にある「.csv のダウンロード」ボタンをクリックして、IAM ユーザ情報を必ずダウンロードしましょう。<br>
この CSV ファイルには「ユーザ名」「パスワード」「コンソール URL 」が記載されています。<br>
ここでダウンロードしないともう取得できないので、パスワードがわからずログインできない！自体に陥ります。 そうなると、また作り直しなので忘れずにダウンロードしてください。</p>
<h2 id="管理用の-iam-ユーザへ-mfa-を導入する">管理用の IAM ユーザへ MFA を導入する</h2>
<p>次に、先ほど作成した管理用 IAM ユーザへ、MFA を導入していきます。<br>
まずは IAM ページを開きます。<br>
画面左上の「サービス」をクリックし、サービスの一覧を表示させ、中央下部の「セキュリティ、アイデンティティ、コンプライアンス」にある「IAM 」をクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/aUzzNsQpvyYEYPpDx9hU.jpg" width="1200" height="1070" alt="IAM ページを開く"></div>
<p>IAM ページへ移動したら、左側にあるナビゲーションから「ユーザー」をクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/FA61w4vcHGIWvIFzjGZX.jpg" width="1000" height="377" alt="左側にあるナビゲーションから「ユーザー」をクリック"></div>
<p>ユーザ一覧ページへ遷移しますので、先ほど追加した管理用 IAM ユーザーのユーザ名のリンクをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/Gxo6I1oVTFgtRDLr1Syr.jpg" width="1200" height="170" alt="管理用 IAM ユーザーのユーザ名のリンクをクリック"></div>
<p>ユーザー概要が表示されますので、「認証情報」のタブをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/26jI0Fo18z4DPRKFTqgW.jpg" width="1200" height="501" alt="ユーザー概要画面"></div>
<p>「MFA デバイスの割り当て：いいえ」のすぐ脇にあるペンのマークをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/h0djdl1pm6AkRf4Uj0nZ.jpg" width="800" height="517" alt="ペンのマークをクリック"></div>
<p>MFA デバイスタイプを選択するモーダルが表示されますので、「仮想 MFA デバイス」にチェックを入れ、「次のステップ」ボタンをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/EzzqpO3BNH5U6QX9OzVt.jpg" width="800" height="315" alt="MFA デバイスタイプを選択"></div>
<p>QR コードが表示されたら、モバイル端末のアプリを起動して読み込みを行い（アカウントの追加になります）、認証コードを入力してください。<br>
「認証コード 1 」「認証コード 2 」両方とも入力を行ったら、「仮想 MFA の有効化」ボタンをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/ffHj5xMiLJWrXCiJSsdX.jpg" width="1200" height="952" alt="QR コードが表示されたら認証コードを入力"></div>
<p>「MFA デバイスは正常に関連付けられました。」と表示が出たら、設定は完了です。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/umxj38SnA44vJr0Q6aEq.jpg" width="300" height="200" alt="MFA デバイスは正常に関連付けられました"></div>
<h3 id="mfa-導入確認">MFA 導入確認</h3>
<p>それでは、管理用 IAM ユーザーでログインして、MFA の導入確認を行ってみましょう。<br>
一度 root アカウントをサインアウトしてから行います。 IAM ユーザ作成時にダウンロードした CSV ファイルに、ログイン用の URL があるので、そこへアクセスし、必要情報を入力して「サインイン」ボタンをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/XzE8M51vgT6ufBENFeyM.jpg" width="300" height="384" alt="IAM ユーザログイン画面"></div>
<p>MFA コードの入力を求められますので、モバイルのアプリを起動させ表示されている MFA コード（６桁）を入力し、「送信」ボタンをクリックします。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/XXODQI48PlWztZUcU9cq.jpg" width="500" height="293" alt="MFA コード入力画面"></div>
<p>マネジメントコンソールが起動したら無事にログイン完了です。<br>
IAM ユーザの作成も、MFA の導入も正常に完了です。</p>
<div class="img_wrap"><amp-img layout="responsive" src="/images/posts/11/FQvk10EVQDK1FgmxQw15.jpg" width="1200" height="556" alt="ログイン完了"></div>

<p>AWS を使おうとしてまず AWS アカウントを作成しますが、そのアカウントはいわゆる「root アカウント」と呼ばれるものであり、そのアカウントに対して全ての権限を有する非常に強力なアカウントになります。普段の操作ではそこまでの権限は不要であり、意図しない誤操作を防ぐためにも、普段使いの管理アカウントは別に作っておくのが安全な AWS運用の基本となります。今回は、管理用の IAM ユーザを作成し、MFA を設定するところまで行いたいと思います。</p>
<h2 id="管理用の-iam-ユーザ作成">管理用の IAM ユーザ作成</h2>
<p>まずは IAM ページを開きます。 画面左上の「サービス」をクリックし、サービスの一覧を表示させ、中央下部の「セキュリティ、アイデンティティ、コンプライアンス」にある「IAM 」をクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/aUzzNsQpvyYEYPpDx9hU.jpg" width="1200" height="1070" alt="IAM ページを開く"></div>
<p>「個々の IAM ユーザの作成」を選択して、「ユーザの管理」ボタンをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/GxIRvMlGW2xa5BM5VW8O.jpg" width="1200" height="556" alt="「個々の IAM ユーザの作成」選択後「ユーザの管理」ボタンをクリック"></div>
<p>この時点ではまだ IAM ユーザーは作成していませんので、一覧には何も表示されていませんね。左上にある「ユーザーを追加」ボタンをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/H9GCUuTPse9IndZEyoqa.jpg" width="1200" height="556" alt="「ユーザーを追加」ボタンをクリック"></div>
<p>任意のユーザ名を入力し、「AWS マネジメントコンソールへのアクセス」へチェックを入れて、「次のステップ：アクセス権限」ボタンをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/YgEGNV0goejxl5d3d0Wb.jpg" width="1200" height="866" alt="ユーザ名を入力"></div>
<p>ここでいくつかこの画面の設定項目を説明しておきます。</p>
<p>アクセスの種類「プログラムによるアクセス」にチェックを入れると、AWS API, CLI, SDK などの開発ツールで使用するアクセスキーとシークレットアクセスキーが発行されます。 現在作っている IAM ユーザは管理用であり、この部分は使用しないのでチェックはしません。 コンソールのパスワード「自動生成パスワード」「カスタムパスワード」を選ぶことができます。カスタムでも良いのですが、パスワードポリシーに従ってパスワードを設定する必要があるので少々手間です。 なのでここはひとまず、自動生成を選択しています。 パスワードのリセットが必要今回の作業で IAM ユーザが発行された後初めてのログインを行いますが、その時にパスワードを変更する手順を設けるかどうかの設定です。<br>
例えば、自分以外の人にアカウントを発行する場合などに使いますが、今回は変更の必要がないので、チェックを外しています。 では次の画面へ進みましょう。</p>
<h3 id="グループを作成して権限を設定する">グループを作成して権限を設定する</h3>
<p>権限設定の画面になったら、「グループの作成」ボタンをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/uL1zku8lFbRTLVjqkUJ8.jpg" width="1200" height="699" alt="グループの作成画面"></div>
<p>任意のグループ名を入力（管理用だとわかるネーミングがいいですね）し、ポリシータイプの一番上、「AdministratorAccess 」にチェックを入れて「グループの作成」をクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/ZGrqJqMcw0aX9yOXjnOR.png" width="1027" height="512" alt="グループの作成画面"></div>
<p>ちなみに、ポリシータイプ「AdministratorAccess 」は、管理権限になります。これを選ぶことで、このグループには管理者権限がフルで持てる事になります。</p>
<p>グループの作成が完了すると、以前の画面に戻り、先ほど作ったグループが表示されますので、チェックを入れ、「次のステップ：確認」ボタンをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/Qn0BiEmWmLpkSjxjxDJ9.jpg" width="1200" height="365" alt="IAM ユーザにグループを割り当てる"></div>
<p>次へ進むと、確認画面が表示されるので、内容を確認して、「ユーザーの作成」ボタンをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/rQH0FX1etqtGzijwe2nQ.jpg" width="1200" height="611" alt="ユーザ作成確認画面"></div>
<p>これで管理用の IAM ユーザが作成されました。ただしまだ安心しないでください！</p>
<div class="img_wrap"><img src="/images/posts/11/rjYhEBlhCKcUX59xg7CX.jpg" width="1200" height="556" alt="csv のダウンロード"></div>
<p>左下にある「.csv のダウンロード」ボタンをクリックして、IAM ユーザ情報を必ずダウンロードしましょう。<br>
この CSV ファイルには「ユーザ名」「パスワード」「コンソール URL 」が記載されています。<br>
ここでダウンロードしないともう取得できないので、パスワードがわからずログインできない！自体に陥ります。 そうなると、また作り直しなので忘れずにダウンロードしてください。</p>
<h2 id="管理用の-iam-ユーザへ-mfa-を導入する">管理用の IAM ユーザへ MFA を導入する</h2>
<p>次に、先ほど作成した管理用 IAM ユーザへ、MFA を導入していきます。<br>
まずは IAM ページを開きます。<br>
画面左上の「サービス」をクリックし、サービスの一覧を表示させ、中央下部の「セキュリティ、アイデンティティ、コンプライアンス」にある「IAM 」をクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/aUzzNsQpvyYEYPpDx9hU.jpg" width="1200" height="1070" alt="IAM ページを開く"></div>
<p>IAM ページへ移動したら、左側にあるナビゲーションから「ユーザー」をクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/FA61w4vcHGIWvIFzjGZX.jpg" width="1000" height="377" alt="左側にあるナビゲーションから「ユーザー」をクリック"></div>
<p>ユーザ一覧ページへ遷移しますので、先ほど追加した管理用 IAM ユーザーのユーザ名のリンクをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/Gxo6I1oVTFgtRDLr1Syr.jpg" width="1200" height="170" alt="管理用 IAM ユーザーのユーザ名のリンクをクリック"></div>
<p>ユーザー概要が表示されますので、「認証情報」のタブをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/26jI0Fo18z4DPRKFTqgW.jpg" width="1200" height="501" alt="ユーザー概要画面"></div>
<p>「MFA デバイスの割り当て：いいえ」のすぐ脇にあるペンのマークをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/h0djdl1pm6AkRf4Uj0nZ.jpg" width="800" height="517" alt="ペンのマークをクリック"></div>
<p>MFA デバイスタイプを選択するモーダルが表示されますので、「仮想 MFA デバイス」にチェックを入れ、「次のステップ」ボタンをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/EzzqpO3BNH5U6QX9OzVt.jpg" width="800" height="315" alt="MFA デバイスタイプを選択"></div>
<p>QR コードが表示されたら、モバイル端末のアプリを起動して読み込みを行い（アカウントの追加になります）、認証コードを入力してください。<br>
「認証コード 1 」「認証コード 2 」両方とも入力を行ったら、「仮想 MFA の有効化」ボタンをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/ffHj5xMiLJWrXCiJSsdX.jpg" width="1200" height="952" alt="QR コードが表示されたら認証コードを入力"></div>
<p>「MFA デバイスは正常に関連付けられました。」と表示が出たら、設定は完了です。</p>
<div class="img_wrap"><img src="/images/posts/11/umxj38SnA44vJr0Q6aEq.jpg" width="300" height="200" alt="MFA デバイスは正常に関連付けられました"></div>
<h3 id="mfa-導入確認">MFA 導入確認</h3>
<p>それでは、管理用 IAM ユーザーでログインして、MFA の導入確認を行ってみましょう。<br>
一度 root アカウントをサインアウトしてから行います。 IAM ユーザ作成時にダウンロードした CSV ファイルに、ログイン用の URL があるので、そこへアクセスし、必要情報を入力して「サインイン」ボタンをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/XzE8M51vgT6ufBENFeyM.jpg" width="300" height="384" alt="IAM ユーザログイン画面"></div>
<p>MFA コードの入力を求められますので、モバイルのアプリを起動させ表示されている MFA コード（６桁）を入力し、「送信」ボタンをクリックします。</p>
<div class="img_wrap"><img src="/images/posts/11/XXODQI48PlWztZUcU9cq.jpg" width="500" height="293" alt="MFA コード入力画面"></div>
<p>マネジメントコンソールが起動したら無事にログイン完了です。<br>
IAM ユーザの作成も、MFA の導入も正常に完了です。</p>
<div class="img_wrap"><img src="/images/posts/11/FQvk10EVQDK1FgmxQw15.jpg" width="1200" height="556" alt="ログイン完了"></div>

Author