Amazon AWS の IAM を使って、共有アカウントを止めよう
皆様の会社とかでもAmazon AWSを使っているかと思いますが、AWSマネジメントコンソールへのログイン時のID, Passwordをメンバー皆が知って共有状態になっていませんか? メンバーの異動や退社時にログインの制御が出来なくて困りますよね。 共有アカウントって嫌ですよね。 ってことで、各AWSのアカウントにユーザを複数登録し、ユーザごとにIDパスワードを設定できる Amazon IAM (Identity and Access Management) について紹介します。
Amazon AWSさんからの資料は http://aws.amazon.com/jp/iam/ を御覧ください。
おおよその使い方の流れは、このようになります。
![AWS Management ConsoleからIAM に入る部分](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_tltPd0X5o5YMOJ_MeDF2VEyn8IrfKAfiB8G99aMOtU_jXRkJNrXvVWCQFTnCahW_ih9zX0mmQ8UwiGR51xt-rnoQ1ci6xCEAOHXhmQmENyTRN5ptu9Z53CNFLtkFcKbNCG3cRugEE_FpJOcbZvldtJ3ewkQhd06vTcZizpZ0NtjUq2mk5dsYFuUlHvsw=s0-d)
まずはAWS マネジメントコンソールから IAM を選択します。
![IAMのユーザ追加Wizard開始](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_tn2dIAqhrCY9SsXt8CYhwCqKwAp1dLjWh0minrEIe4GCGsaaENluqM2RRvwujcuawtAIN8HRRHUAY2U-2Am5qmO12XduqjtqUGCohTzRqNOmgFUcMTmRpj7Ha13QxSQnRGjZqdcFy1zR4AdvJhMUSb71CGWqLpjbF_b3VDu2wvYUiwR9C6VCV39bED=s0-d)
ページ中のグループとユーザ追加をクリックすると、新しいグループとユーザの登録ができます。
![グループ名の選択](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_uC86gvT13zwX8qBUU6NeC0zQCcSzfApmolRDe0EGYXpSPTiRxmclq8_ZlSFCzpHbaWymylFBCniCq11s1Mir7OhbJVsTlCFbgRtBJGH_uGfSEGkvlSJ20GoV4YTS4NY8BfaGPkPbAZzixeUa6IuVFrZyH1M6k6sV19CwMtQLjIpErqQRmjyQhEAu9NjQ=s0-d)
まずはグループ名の入力。 スペースなどの文字が使えないので、その警告が表示されています。
![グループの権限を設定](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_svQ4lRl6NvfOn75BlqBN5_v31b4V4frNQWef8tWXht0uMe4is29bRHBLrACvzsLs-8zTDrLEv8zd37FnKVZrCe4KUbSQiPqEyc5MN2aRjxJtiBy7EFbwE3-8IoVvtFlmMyRrMXc-jT5Rx-0hkqx3YYSFN7V4rReXBNESR9Zl4gCCjkTfp3mZZBAyUVtg=s0-d)
グループ権限の設定。 標準的に準備されているのは、 Administrator, Power User, Read only の3種類です。 例えばRead Onlyにすると、EC2のインスタンス停止などが出来ないアカウントとなります。 その他、利用できる各サービスを JSON形式で編集して、もっと細かい設定ができるようです。
![ユーザの追加](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_sfPy0rWPJXarsJSPEyvRSdJTAgjR9Yalo0FcUdaKHyIlpN18ukkMcgPI9HMSgKeigKU3ZWjtizGFXbuz03unsYreJAVBjWeyCujvyosbCr1odky2vb9vxvoFcLqqtYrFqlb1NZP8k2Vm8pikuXZWmS27_G6x6EL0LyedoP6CnuaUxQ5Su4PK7nIpknhQ=s0-d)
このグループに追加するユーザを作成したり選択します。
![IAMグループとユーザ一覧](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_vi3kR4FDmL0sU8225aMjpIFRFQC5-8u7vvWOrqrEG9FixHgytdLzigJDMUodIY2LTgHSTn6dwq73V_bC3W08WhNsZcpuofEOcCKYXC_SSgkENoXc7D4vrgUj5IfA8NA8LKo5SgshRbXmoc7ao4PnHdGYVyrRtp5Wx2jVTU_0Qmah6h3hXB4gIjRb6s=s0-d)
登録などが進むと、グループとユーザ一覧が出てきます。 後の操作はここから実施すればよいでしょう。
![Sign In URL](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_s3nnzFAqzmstVrYteXu4s9SKfXLSNl7sxIUBO9SdQL-8ndpcken69WA9QS1tYpIzAO2Q1ZBN0oNMQXNTyio6ixYLe_bfaiZvpeYp0KBilzWg6PzrOU07UzMfTXyyVmLB7mEHccsongqNN_1OIx87LwjKYYmN64V26ch9_rjCsDCyJo-e_33nDGNhJQ4g=s0-d)
IAM 用 Sign In は通常と別ページになっています。 ここのURLをユーザに伝えてください。
![Sign In URL にAliasを設定](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_uEfxJ6iPSd3Y7NFf2PkMaHzDfeKs7niZWIr0ltXdnZVQEkboSnbJArGiPISe0jsVn6gBay-H2sM4hZVfBotRy1AMf0IRO_uvWQ69a9l7m4ZCa2eOSpnYSg0ORGvYgY7Vpa3YQpbaSTtMYAtRMPI4woCw4m2fj00hF_8wIHVUK4NXF4ySC3tdmewYAb=s0-d)
Sign In URL の部分はアカウントの番号になっており、これに Alias を設定することも可能です。
![IAM のログインページ](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_u0geWJUlWf2sGkO4WEv-uDT-DbBQGAjLmsoiahjggOun4YEy6AWL4GimLi5acRsJMQzZJjgIukU_Pp1qSvZfCJi6zShamoIuz0p3IdHFXBUfjJ0dg9z5MC-X35k-WOknNTMAY5EeouyuQt_d9xReUzZ0WFxuWRQpDLlro05-uPZn7FcoLjYk1DSOaf=s0-d)
IAMのログインURLを開くと、このようなログインページになります。
幾つか使ってみて気づいたことは、こんな感じです。
Amazon AWSさんからの資料は http://aws.amazon.com/jp/iam/ を御覧ください。
おおよその使い方の流れは、このようになります。
- IAMの利用開始申込み
- グループの作成
- 上記のグループに対する権限を設定
- 上記のグループに含むユーザの登録。 ユーザIDはメールアドレス、パスワードは任意という具合。
- 登録ユーザには IAM ログイン用のURLと、ユーザIDなどを伝える。
- 登録ユーザは指定されたURLからログイン
- すると、指定された範囲の権限で操作可能
まずはAWS マネジメントコンソールから IAM を選択します。
ページ中のグループとユーザ追加をクリックすると、新しいグループとユーザの登録ができます。
まずはグループ名の入力。 スペースなどの文字が使えないので、その警告が表示されています。
グループ権限の設定。 標準的に準備されているのは、 Administrator, Power User, Read only の3種類です。 例えばRead Onlyにすると、EC2のインスタンス停止などが出来ないアカウントとなります。 その他、利用できる各サービスを JSON形式で編集して、もっと細かい設定ができるようです。
このグループに追加するユーザを作成したり選択します。
登録などが進むと、グループとユーザ一覧が出てきます。 後の操作はここから実施すればよいでしょう。
IAM 用 Sign In は通常と別ページになっています。 ここのURLをユーザに伝えてください。
Sign In URL の部分はアカウントの番号になっており、これに Alias を設定することも可能です。
IAMのログインURLを開くと、このようなログインページになります。
幾つか使ってみて気づいたことは、こんな感じです。
- グループの権限はホワイトリスト形式のようです。
- 一人のユーザがグループAとグループBに属している場合、and/or の OR 形式で、どちらか一方または両方から与えられた権限が利用できます。
- 私の場合、複数のAWSアカウントにログインする必要があります。 違うAWSアカウントにログインする場合には、その都度IAMのログインURLをコピペしてログインしています。
- どのAWSアカウントにログインしているかは、AWSマネジメントコンソールの右上の部分をご確認ください。
コメント
コメントを投稿