1. Home
  2. Aws
  3. AWS管理用のIAMユーザ作成とMFA(多要素認証)の導入

AWS管理用のIAMユーザ作成とMFA(多要素認証)の導入

  • 公開日
  • 更新日
  • カテゴリ:AWS
  • タグ:AWS,Security,IAM,MFA
AWS管理用のIAMユーザ作成とMFA(多要素認証)の導入

AWS を使おうとしてまず AWS アカウントを作成しますが、そのアカウントはいわゆる「root アカウント」と呼ばれるものであり、そのアカウントに対して全ての権限を有する非常に強力なアカウントになります。普段の操作ではそこまでの権限は不要であり、意図しない誤操作を防ぐためにも、普段使いの管理アカウントは別に作っておくのが安全な AWS運用の基本となります。今回は、管理用の IAM ユーザを作成し、MFA を設定するところまで行いたいと思います。

管理用の IAM ユーザ作成

まずは IAM ページを開きます。 画面左上の「サービス」をクリックし、サービスの一覧を表示させ、中央下部の「セキュリティ、アイデンティティ、コンプライアンス」にある「IAM 」をクリックします。

「個々の IAM ユーザの作成」を選択して、「ユーザの管理」ボタンをクリックします。

この時点ではまだ IAM ユーザーは作成していませんので、一覧には何も表示されていませんね。左上にある「ユーザーを追加」ボタンをクリックします。

任意のユーザ名を入力し、「AWS マネジメントコンソールへのアクセス」へチェックを入れて、「次のステップ:アクセス権限」ボタンをクリックします。

ここでいくつかこの画面の設定項目を説明しておきます。

アクセスの種類「プログラムによるアクセス」にチェックを入れると、AWS API, CLI, SDK などの開発ツールで使用するアクセスキーとシークレットアクセスキーが発行されます。 現在作っている IAM ユーザは管理用であり、この部分は使用しないのでチェックはしません。 コンソールのパスワード「自動生成パスワード」「カスタムパスワード」を選ぶことができます。カスタムでも良いのですが、パスワードポリシーに従ってパスワードを設定する必要があるので少々手間です。 なのでここはひとまず、自動生成を選択しています。 パスワードのリセットが必要今回の作業で IAM ユーザが発行された後初めてのログインを行いますが、その時にパスワードを変更する手順を設けるかどうかの設定です。
例えば、自分以外の人にアカウントを発行する場合などに使いますが、今回は変更の必要がないので、チェックを外しています。 では次の画面へ進みましょう。

グループを作成して権限を設定する

権限設定の画面になったら、「グループの作成」ボタンをクリックします。

任意のグループ名を入力(管理用だとわかるネーミングがいいですね)し、ポリシータイプの一番上、「AdministratorAccess 」にチェックを入れて「グループの作成」をクリックします。

ちなみに、ポリシータイプ「AdministratorAccess 」は、管理権限になります。これを選ぶことで、このグループには管理者権限がフルで持てる事になります。

グループの作成が完了すると、以前の画面に戻り、先ほど作ったグループが表示されますので、チェックを入れ、「次のステップ:確認」ボタンをクリックします。

次へ進むと、確認画面が表示されるので、内容を確認して、「ユーザーの作成」ボタンをクリックします。

これで管理用の IAM ユーザが作成されました。ただしまだ安心しないでください!

左下にある「.csv のダウンロード」ボタンをクリックして、IAM ユーザ情報を必ずダウンロードしましょう。
この CSV ファイルには「ユーザ名」「パスワード」「コンソール URL 」が記載されています。
ここでダウンロードしないともう取得できないので、パスワードがわからずログインできない!自体に陥ります。 そうなると、また作り直しなので忘れずにダウンロードしてください。

管理用の IAM ユーザへ MFA を導入する

次に、先ほど作成した管理用 IAM ユーザへ、MFA を導入していきます。
まずは IAM ページを開きます。
画面左上の「サービス」をクリックし、サービスの一覧を表示させ、中央下部の「セキュリティ、アイデンティティ、コンプライアンス」にある「IAM 」をクリックします。

IAM ページへ移動したら、左側にあるナビゲーションから「ユーザー」をクリックします。

ユーザ一覧ページへ遷移しますので、先ほど追加した管理用 IAM ユーザーのユーザ名のリンクをクリックします。

ユーザー概要が表示されますので、「認証情報」のタブをクリックします。

「MFA デバイスの割り当て:いいえ」のすぐ脇にあるペンのマークをクリックします。

MFA デバイスタイプを選択するモーダルが表示されますので、「仮想 MFA デバイス」にチェックを入れ、「次のステップ」ボタンをクリックします。

QR コードが表示されたら、モバイル端末のアプリを起動して読み込みを行い(アカウントの追加になります)、認証コードを入力してください。
「認証コード 1 」「認証コード 2 」両方とも入力を行ったら、「仮想 MFA の有効化」ボタンをクリックします。

「MFA デバイスは正常に関連付けられました。」と表示が出たら、設定は完了です。

MFA 導入確認

それでは、管理用 IAM ユーザーでログインして、MFA の導入確認を行ってみましょう。
一度 root アカウントをサインアウトしてから行います。 IAM ユーザ作成時にダウンロードした CSV ファイルに、ログイン用の URL があるので、そこへアクセスし、必要情報を入力して「サインイン」ボタンをクリックします。

MFA コードの入力を求められますので、モバイルのアプリを起動させ表示されている MFA コード(6桁)を入力し、「送信」ボタンをクリックします。

マネジメントコンソールが起動したら無事にログイン完了です。
IAM ユーザの作成も、MFA の導入も正常に完了です。

Author

rito

  • Backend Engineer
  • Tokyo, Japan
  • PHP 5 技術者認定上級試験 認定者
  • 統計検定 3 級