IAM グループとユーザ

AWS マネジメント コンソールの IAM ページで、ユーザおよびグループを含む IAM Identity の作成と管理を行うことができます。

IAM ユーザが存在しない場合、それを作成する必要があります。ファイアウォールは、そのユーザを使用して、自身がサポートするサービスのためにさまざまな AWS の API に接続します (ここでは、AWS アカウントを作成済みであり、ルート アクセス権限または広範な管理者権限を持つ管理者がそのアカウントでログインしていると仮定しています)。

異なるサービスにアクセスするには、特定の権限が必要になります。こうした権限をユーザに直接付与します。または、IAM グループに割り当てたセキュリティ アクセス ポリシーにその権限を適用し、そのグループにユーザを追加します。

グループの作成については、IAM のマニュアルで説明されています。厳密には、グループを作成する必要はありません。権限はユーザに直接割り当てることができますが、一般的には、複数のユーザに使用できるようにグループを定義します。

ユーザを作成する必要があります。ファイアウォールのみで特に使用するためにユーザを作成できますが、同ユーザが AWS マネジメント コンソールにアクセスする場合、関連するチェックボックスをオンにする必要があります。どちらの場合も、ユーザには「プログラム アクセス」が必要です。

「ユーザの追加」ウィザードの 2 番目のステップでは、ユーザをグループに追加する、または権限を直接付与することによってユーザに割り当てる権限を決定します。

作成するユーザの詳細を確認した後、「ユーザの作成」ボタンを押下します。ここで最後に実行する重要な手順があります。

「ユーザの追加」ウィザードを終了せず、次の手順を実行してください。

そのユーザ用に作成された「シークレット アクセス キー」を取得する必要があります。シークレット アクセス キーは、アクセス キーとともに、ファイアウォールの設定に使用します。また、API による AWS へのアクセス時にも常に必要です。シークレット アクセス キーのコピー、またはダウンロードした CSV ファイルを安全な場所に保存してください。

最後に、必要な権限を付与して新規作成したユーザが AWS コンソールの「IAM ユーザ」セクションに表示されます。

シークレット アクセス キーを取得できなかった場合は、IAM コンソールの「ユーザ」セクションから別のアクセス キーを作成できます。これは、アクセス キーをローテーションするのに適した方法と考えられています。