【AWS】IAM の設定、していますか?【ルートユーザーのままはやばい】

  • このエントリーをはてなブックマークに追加
  • LINEで送る

こんにちは、0371です。

今日は AWS アカウントを作成し、作業をする前にやっておくことを紹介します。

これをしなければ、強力な編集権限のまま作業を行うことになり、思わぬ請求が来る可能性があります。

特に複数人での作業を行う場合、gitなどでネット上に公開する場合は絶対に設定しておきましょう!

勝手にインスタンスを使用されて莫大な利用料金を払う、なんてことは避けたいです。(白目)

スポンサーリンク

【AWS IAM – ルートユーザーとは?】

まず、AWSアカウントを作成した時点で、ルートユーザーが割り当てられます。

ルートユーザーとはなんぞ?というと

  • そのアカウントの全ての機能にアクセスできるようになる。
  • 設定も変えたい放題。
  • ウェイ

詳しくは IAM のドキュメント に載っています。(説明ぶん投げ)

要するに神みたいなものです。

IAMの作業用ユーザーを作成する時、AWSの設定変更、解約の時くらいしか使わないようにしましょう。

 

神が常に自分一人だけならいいのですが、神を名乗る権利を誤って公開してしまったり、自分のことを乗っ取って神を名乗る人物がいたり、神がいっぱいいて統率が取れなくなったりしたら大変ですよね。

これらは、

  • アクセスキーを誤って git push して公開してしまう。
  • ハッキングを受けて情報流出、不正利用される。
  • 権限の調整をせずに開発チームを招き、不正利用される。

に相当します。

こんなんありえんやろ〜と思ったあなたが一番罠にかかりやすいです。

ちゃんと勉強して設定しましょう。

基本的にAWS側が助けてくれるわけではありません。「あなたの落ち度ですよね?」で終わりです。

 

【AWS IAM – IAM ユーザーとは?】

IAM ユーザーとは、

  • 作業者ごとに、認証情報やアクセス権限を個別に設定、制限できる。

というものです。

 

主にセキュリティーの部分に関わってきます。

また、人でなくても、アプリケーションが IAM ユーザーとなる場合もあるようです。

 

【AWS IAM – IAM 設定編】

最初に、IAMユーザーでも請求情報が見れるようにしましょう。

まずは、AWSマネジメントコンソールにアクセスします。

 

その後、「マイアカウント」をクリックし、

AWSマネジメントコンソール

 

スクロールして 「IAM ユーザー/ロールによる請求情報へのアクセス」の横の編集をクリック。

その後、「IAM アクセスのアクティブ化」にチェックを入れて、「更新」をクリックしてください。

編集をクリック

 

これでIAM ユーザーでも請求情報が確認、アラートの受け取りができるようになりました。

 

次に IAMの画面に移動します。

左のメニューから「ユーザー」を選択し、「ユーザーの作成」をクリックします。

ユーザの作成

 

ユーザー名を入力します。

このユーザー名は後で使用するので、メモしておいてください。

 

次にアクセスの権利の選択をします。

CUIを多く使用するなら上のチェックボックス。

GUI操作であれば下のチェックボックスにチェックしましょう。

初心者のうちは下のチェックボックスで十分かな?

 

続いて、コンソールのパスワードを設定します。

「1PassWord」などのパスワード管理ソフトを使用しているのであれば、自動生成のパスワード。

そうでなければ、カスタムパスワードを使用するのがいいと思います。

このパスワードは後で使用するので、メモしておいてください。

 

パスワードのリセットは、一時的に他のユーザーに使用させるのであればチェックを入れます。

他の人に操作させる場面がないのであれば、チェックをはずしていいです。

このページでの設定を終えたら、「次のステップへ」をクリック。

 

次にアクセス許可の設定をします。

本来であれば、ここで適切なアクセス権限をプロジェクト各作業者に付与する必要があります。

自分で学習するためのIAM ユーザーであるなら、いろんなリソースを利用できるように最も強力な権限を使用しましょう。

強力ではありますが、ルートユーザーよりは権限の範囲は小さいです。

いきなり解約されてたとか、登録していたクレカ情報が流出した、なんてことは起こらなくなります。

 

「既存のポリシーを直接アタッチ」からリストの一番上にある「AdministratorAccess」を選びます。

このページでの設定を終えたら、「次のステップへ」をクリック。

ユーザー権限の設定

 

次にタグの設定です。

ここでは、フロントエンド、バックエンド、サーバーサイドなど、役職名を付与することで、見分けがつきやすくなるといったメリットがあります。

ただし、今回は個人での使用ですので、特に何も設定しなくてもいいです。

「次のステップへ」をクリックします。

タグの設定

 

今までの設定を確認して、「ユーザーの作成」をクリックします。

他の作業者に付与させるためのユーザーであれば、一度深呼吸してゆっくり確認した方がいいです。

設定の確認

 

成功すると、このような画面になります。

真ん中にある URL がアクセス用の URL ですので、クリックします。

URLを忘れそうな人は、「CSVファイルをダウンロードする」か「Eメールの送信」をクリックして保存してください。

アクセス用URLの確認

 

ここのページは ブックマークしておくといいでしょう。

AWS のリソース(EC2, VPC, RDS などのサービス)を利用するために多く使用するためです。

 

先ほど入力したユーザー名、パスワードを入力し、サインインします。

AWSマネジメントコンソールにアクセスできたら成功です!!!

IAMでのサインイン

 

【まとめ – アクセス権限は大事!】

初心者のうちは、「まず手を動かす!!!」となりがちですが、それは安全な環境にいる時の話です。

セキュリティー設定をしないうちにコーディングを行うと、思わぬ罠に落ちてしまうでしょう。

いつの間にか60万円の請求がきたという記事を見たことがあります・・・。

60万円あれば MacBook 何台買えるのかな・・・。(白目)

他人事と考えず、自分も油断していると被害に遭うと考えて、日々のセキュリティー意識を高めていきましょう!

 

Cloud Watch の設定を行っていない方はこちら↓

【AWS】利用料金の請求地獄を事前に回避する方法【CloudWatch】

 

IAM ユーザー設定した方はこちらの記事もどうぞ↓

【AWS初心者】IAM ユーザーの作業ログを記録しよう!【CloudTrail】

  • このエントリーをはてなブックマークに追加
  • LINEで送る