こんにちは、ニキです。
この記事では以下のような疑問を解消します。
- ルートユーザー以外にユーザーを作成した方がいい?
- IAMユーザーを作成するにはどうすればいい?
- IAMユーザーにはMFAを設定した方がいい?
結論を先に言うと、ルートユーザー以外のユーザーとしてIAMユーザーを作成した方がいいです。その理由と設定する方法、MFAを設定するべきかを解説していきます。
ルートユーザー以外にユーザーを作成した方がいい理由
ひとことで言うとセキュリティの強化です。普段操作するユーザーが可能なアクションは制限しておいた方がいいです。
ユーザーの作成
IAMサービスのコンソール画面へ移動し、ユーザーの作成を行います。
以下の画面のように、ユーザーの作成 を選択します。
ユーザーの詳細を指定
ユーザーの詳細を指定します。
- ユーザー名: 管理者であることがわかるようにAdministratorとしています。
- AWSマネジメントコンソールへのユーザーアクセスを提供する: CLIではなくコンソール上で使用するユーザーなのでチェックを入れます。
- ユーザータイプ:マルチアカウントを想定していないので IAMユーザーを作成します を選択しています。
- コンソールパスワード:自動生成だと8文字です。もう少し長くしたいのでカスタムパスワードにしています。
- ユーザーは次回のサインイン時に新しいパスワードを作成する必要があります: このユーザーの作成者と利用者が同じの場合は不要なので、未チェックにしています。
次へ を選択します。
許可するアクションを設定
ユーザーへ許可するアクションを設定します。
- 許可のオプション:個人での利用を想定しているので ポリシーを直接アタッチする を選択します。組織で利用するなら、ユーザーグループを適切に設計した方が運用しやすくなります。
- 許可ポリシー:ポリシーとしてAdministratorを選択します。組織で利用するなら、IAMの一部機能に制限があるPowerUserAccessを開発者用のユーザーに割り当てるのは、よくある運用ケースです。
次へ を選択します。
設定の確認
以下のように、設定した内容に問題がないかを確認します。
問題なければ、 ユーザーの作成 を選択します。
設定の完了
この時点でユーザーの作成は完了です。お疲れ様でした。
MFAを設定するべきか
セキュリティは強化されますが、利便性は損なわれるというトレードオフをどう判断するか次第です。ただ、企業が提供しているリリース済みのサービスであれば、個人的にはMFAの設定は必須だと思います。
AWSのベストプラクティスとしては、ユーザーにはMFAを設定するべきとのことなので、このあたりも考慮に入れて決定した方がいいでしょう。
まとめ
この記事では以下のような疑問を解消できるように、執筆しました。
- ルートユーザー以外にユーザーを作成した方がいい?
- IAMユーザーを作成するにはどうすればいい?
- IAMユーザーにはMFAを設定した方がいい?
