ルートユーザーとIAMユーザー

ルートユーザーは日常では使いません。アカウントの削除など全ての作業ができてしまいます。 誤ってアカウントを削除してしまうと、全てのリソースがなくなってしまうなどの甚大なリスクを伴います。 また、パスワードが漏れたりする危険もあります。 これは、AWS推奨していますので従っておきましょう。

ルートユーザーが使えないなら何を使えばいい？

そこで出てくるのがIAMユーザーです。

IAMユーザーには、必要な権限だけを与えることができます。

自分1人だけなら、強い権限を与えてよいですし、複数人で作業する場合には、弱めの権限を他人に渡すこともできます。

適切なユーザーに適切な範囲の権限を与えて管理できるのがIAMユーザーです。

ハンズオン

IAMユーザー作成

1. 前回作成した、rootユーザーでマネージメントコンソールに移動します。
2. IAMを上部の検索窓で検索して選択します。
3. 右上のユーザーの作成を選択し、ユーザー名に任意の文字列を入力します。
4. 「AWSマネジメントコンソールへのユーザーアクセスを提供する-オプション」にチェックを入れます。
5. 「許可を設定」で「ポリシーを直接アタッチする」を選択し、「AdministratorAccess」を選択します。
6. 確認して作成→ユーザーの作成を選択します。
7. ユーザー名とコンソールパスワードが書かれたcsvをダウンロードしましょう。
8. 上記のcsvにurlがあるので、そちらからマネジメントコンソールに移動しましょう。

ちょっと、長いですが上記でIAMユーザーでログインができます。 普段はこちらでログインするようにします。

csvのURLはお気に入り登録をしておくこと推奨です。

MFA設定

Multi-Factor Authenticationの略です。 ID・パスワードだけでは、リスクが高いのは世の常識になりつつあります。

あらかじめIAMユーザーとスマホの認証アプリまたは、端末の指紋や顔認証情報を紐付けておくことで、本人がアクセスしようとしていることを確認しようとする技術です。

手順

1. マネジメントコンソールの右上のユーザー名が書いてある部分を選択する。
2. 「セキュリティ認証情報」を選択する。
3. MFAを割り当てるを選択する
4. 「デバイス名」適当な名前を入れる。
5. MFA deviceは「認証アプリケーション」を選択（パスキー等でもOK）
6. 「Google Authenticator」（その他のアプリを持っている人は、自前のものを使っても構いません）でQRコードを読み取って、コードを入力する。
7. MFAを追加を押す

以上です。

文字で見ていると少し疲れるので、動画で見た方がわかりやすいかもしれません。 いずれにしても、本筋とは関係ない部分なので、こんなところでギブアップしないようにしてください（笑）

動画講義はこちらから⇩⇩

動画講義