ユーザ用ツール

サイト用ツール


aws:iam:index.html

AWS IAMで、ユーザ管理

AWS IAM概要

  • AWS IAM (AWS Identity and Access Management)
  • アイアムと読む人が多いですが、正式には、アーミィと発音するそうです。(AWS公式情報)

IAMは、AWS リソースへのアクセスを安全に制御するためのユーザ管理機能です。
たとえば、以下のようなことができます。

  • IAMユーザーに対して、AWSマネジメントコンソールへのログインのソースIP制限をする
  • IAMユーザーに対して、AWSマネジメントコンソールへのログインの多要素認証(MFA)をする

IAMのユーザーとIAMグループとIAMロールとIAMポリシーの違い

IAMユーザとIAMグループ
  • 人に対して管理
  • グループは、ユーザをグループ化したもの
IAMロールとIAMポリシー
  • AWSのリソースに対する権限。人の権限ではない。
  • パスワードなどの概念はない。
  • 例えば、EC2のこのロールから、このS3へのアクセスを許可する。
  • ポリシーは、ロールをグループ化したもの

ユーザ管理のベストプラクティス

  • メールアドレスでログインできるAWSアカウントは、緊急時以外使わない。(利用時はメール通知できるようにする)
  • 個別にIAMユーザを作成する
  • 特権ユーザは、MFAを有効にする

アカウントの種類

アカウント 説明 備考
OSアカウント OSレイヤー以上を管理 OS以上を管理
AWSアカウント AWSアカウント作成時に作成される何でもできるユーザー
このアカウントは利用しない。ロックする。
IAMユーザを作成して、利用する
物理やネットワーク(AWSのサービス)を管理
IAMユーザー 権限を限定して設定できるユーザー

ログインURL

IAMを利用すると、ログインURLが違います。
https://xxxxxxxxx.signin.aws.amazon.com/console

IAMのダッシュボードから確認でき、カスタマイズも可能です。
既に利用されている文字列は利用できません。
https://testxxxxxxxx.signin.aws.amazon.com/console


設定手順

パスワードポリシーの設定

IAM [アクセス管理] - [アカウント設定] - [パスワードポリシー]

設定項目設定例
パスワードの最小長 8
少なくとも 1 つの大文字が必要 ON
少なくとも 1 つの小文字が必要 ON
少なくとも 1 つの数字が必要 ON
少なくとも 1 つの英数字以外の文字が必要 OFF
ユーザーにパスワードの変更を許可 ON
パスワードの失効を許可
パスワードの有効期間(日数):
ON
90
パスワードの再利用を禁止
記憶するパスワードの数:
OFF
パスワードの有効期限で管理者のリセットが必要 OFF


MFA(Multi-Factor Authentication : 多要素認証)

ユーザごとに、「MFAデバイスの割り当て」を行います。

利用できるソフトウェア例

  • AWS Virtual MFA
  • Google Authenticator




参考

aws/iam/index.html.txt · 最終更新: 2023/10/19 23:25 by kurihara

ページ用ツール