緊急アクセス用の IAM ユーザーを作成する - AWS Identity and Access Management
緊急アクセス用の IAM ユーザーを作成するには

緊急アクセス用の IAM ユーザーを作成する

IAM ユーザーは、1 人のユーザーまたは 1 つのアプリケーションに対して特定の許可を持つ AWS アカウント 内のアイデンティティです。

IAM ユーザーの作成を推奨する理由の 1 つに、緊急アクセス用の IAM ユーザーを確保することがあります。これで、ID プロバイダーがアクセス不能になった場合でも AWS アカウントにアクセスできます。

注記

セキュリティ上のベストプラクティスとして、IAM ユーザーを作成するのではなく、ID フェデレーションを通じてリソースへのアクセスを提供することをお勧めします。IAM ユーザーが必要な特定の状況についての情報は、「IAMユーザー (ロールの代わりに) を作成する場合」を参照してください。

緊急アクセス用の IAM ユーザーを作成するには

最小アクセス許可

次の手順を実行するには、少なくとも以下のIAM アクセス許可が必要です。

  • access-analyzer:ValidatePolicy

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateGroup

  • iam:CreateLoginProfile

  • iam:CreateUser

  • iam:GetAccountPasswordPolicy

  • iam:GetLoginProfile

  • iam:GetUser

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

表示を増やす表示を減らす
Console

  1. AWSサインインユーザーガイドの「AWS へのサインイン方法」のトピックで説明されているように、ユーザータイプに適したサインイン手順に従ってください。

  2. [IAM コンソールのホーム] ページの左側のナビゲーションペインで、[検索の IAM] テキストボックスにクエリを入力します。

  3. ナビゲーションペインで [ユーザー][ユーザーの作成] の順に選択します。

    注記

    IAM Identity Center を有効にしている場合は、AWS Management Console には、IAM Identity Center でユーザーのアクセスを管理するのが最善であることを示すメッセージが表示されます。この手順で作成した IAM ユーザーは、特に ID プロバイダーが利用できなくなった場合にのみ使用します。

  4. [ユーザーの詳細を指定] ページの [ユーザーの詳細][ユーザー名] に、新しいユーザーの名前を入力します。これは、AWS のサインイン名です。この例では、EmergencyAccess と入力します。

    注記

    ユーザー名は、最大 64 文字の英数字、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、アンダースコア (_)、ハイフン (-) を組み合わせて指定します。名前はアカウント内で一意である必要があります。大文字と小文字は区別されません。例えば、TESTUSER というユーザーと testuser というユーザーを作成することはできません。ユーザー名をポリシーまたは ARN の一部として使用する場合、名前の大文字と小文字が区別されます。サインイン中など、コンソールにユーザー名が表示される場合、大文字と小文字は区別されません。

  5. [AWS Management Console へのユーザーアクセスを提供する — オプション] の横にあるチェックボックスを選択し、[IAM ユーザーを作成します] を選択します。

  6. [コンソールパスワード] で、[自動生成パスワード] を選択します。

  7. [ユーザーは次回サインイン時に新しいパスワードを作成する必要があります (推奨)] の横にあるチェックボックスをオンにします。この IAM ユーザーは緊急アクセス用であるため、信頼できる管理者がパスワードを保持し、必要な場合にのみ提供します。

  8. [権限の設定] ページの [権限オプション] の、[ユーザーをグループに追加] を選択します。次に、[ユーザーグループ][グループの作成] を選択します。

  9. [ユーザーグループの作成] ページの [ユーザーグループ名] に、EmergencyAccessGroup と入力します。次に、[許可ポリシー][AdministratorAccess] を選択します。

  10. [ユーザーグループを作成] を選択して [許可を設定] ページに戻ります。

  11. [ユーザーグループ] で、以前に作成した EmergencyAccessGroup の名前を選択します。

  12. [次へ] を選択して [確認および作成] ページに進みます。

  13. [確認と作成] ページで、新しいユーザーに追加するユーザーグループメンバーシップのリストを確認します。続行する準備ができたら、[ユーザーの作成] を選択します。

  14. [パスワードの取得] ページで、[.csv ファイルのダウンロード] を選択し、ユーザーの認証情報 (接続 URL、ユーザー名、パスワード) が含まれている .csv ファイルを保存します。

  15. このファイルを保存して、IAM にサインインする必要があるものの、ID プロバイダーにアクセスできない場合に使用します。

新しい IAM ユーザーが[ユーザー] リストに表示されます。[ユーザー名] リンクを選択すると、ユーザーの詳細が表示されます。

AWS CLI

  1. EmergencyAccess という名前のユーザーを作成します。

    
aws iam create-user \
   --user-name EmergencyAccess

  2. (オプション) ユーザーに AWS Management Console へのアクセス権を付与します。これにはパスワードが必要です。IAM ユーザーのパスワードを作成するには、--cli-input-json パラメータを使用して、パスワードが含まれている JSON ファイルを渡します。また、アカウントのサインインページの URL をユーザーに提供する必要があります。

    • aws iam create-login-profile

       
aws iam create-login-profile \
   --generate-cli-skeleton > create-login-profile.json

    • テキストエディタで create-login-profile.json ファイルを開き、パスワードポリシーに準拠したパスワードを入力して、ファイルを保存します。例: 

      
{
 "UserName": "EmergencyAccess",
 "Password": "Ex@3dRA0djs",
 "PasswordResetRequired": false
}

    • 再度 aws iam create-login-profile コマンドを使用して、JSON ファイルを指定した --cli-input-json パラメータを渡します。

      
aws iam create-login-profile \
   --cli-input-json file://create-login-profile.json
    注記

    JSON ファイルに指定したパスワードがアカウントのパスワードポリシーに違反している場合は、PassworPolicyViolation エラーが返されます。この場合は、アカウントのパスワードポリシーを確認し、要件を満たすように JSON ファイル内のパスワードを更新します。

  3. EmergencyAccessGroup を作成し、AWS マネージドポリシー AdministratorAccess をグループにアタッチして、グループに EmergencyAccess ユーザーを追加します。

    注記

    AWS 管理ポリシーは、AWS が作成および管理するスタンドアロンポリシーです。各ポリシーには、それぞれ独自の Amazon リソースネーム (ARN) (ポリシー名を含む) があります。たとえば、arn:aws:iam::aws:policy/IAMReadOnlyAccess は AWS 管理ポリシーです。ARN の詳細については、IAM ARNを参照してください。AWS のサービス に対する AWS マネージドポリシーのリストについては、「AWS マネージドポリシー」を参照してください。

    • aws iam create-group 

      
aws iam create-group \
   --group-name EmergencyAccessGroup

    • aws iam attach-group-policy

      
aws iam attach-group-policy \
   --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
   --group-name >EmergencyAccessGroup

    • aws iam add-user-to-group 

      
aws iam add-user-to-group \
   --user-name EmergencyAccess \
   --group-name EmergencyAccessGroup

    • aws iam get-group コマンドを実行して、EmergencyAccessGroup とそのメンバーをリストします。

      
aws iam get-group \
   --group-name EmergencyAccessGroup