ハンズオン(簡易版): IAM入門

作成者

波田野 裕一

公開日

2020-06-22

目的

IAMグループ・IAMユーザ関連の要素の作成・更新・削除を行う。

前提

作業権限条件

本作業は、以下の作業権限を有する「IAMユーザー」もしくは「IAMロールが付与された環境(Cloud9などを含むEC2環境)で行います。

作業権限条件: 必要なIAMポリシー

• IAMFullAccess

必要なIAMポリシーを利用する環境(「IAMユーザー」「IAMグループ」もしくは「IAMロール」)にアタッチした後に、作業を実施します。

作業環境条件

注釈

本手順は、Cloud9環境での実施を推奨します。

• AWS CLIハンズオンの環境構築手順: http://prototype-handson-cli.s3-website-ap-northeast-1.amazonaws.com/handson_light_web-aws_prepare/handson_light_web-aws_prepare-cloud9/index.html

本作業は、以下の作業環境で行います。

作業環境条件1: OSとバージョン

本手順は、Amazon Linux "2018.03"以降のOS環境での実施を前提としています。

コマンド:

cat /etc/system-release

結果(例):

Amazon Linux AMI release 2018.03

作業環境条件2: シェルとバージョン

本手順は、bash "4.2.46(2)-release"以降のシェル環境での実施を前提としています。

コマンド:

bash --version -v \
  | head -1

結果(例):

GNU bash, バージョン 4.2.46(2)-release (x86_64-redhat-linux-gnu)

作業環境条件3: AWS CLIのバージョン

本手順は、AWS CLIのバージョン"1.18.50"以降での実施を前提としています。

コマンド:

aws --version

結果(例):

aws-cli/1.18.50 Python/3.6.10 Linux/4.14.173-106.229.amzn1.x86_64 botocore/1.16.0

構成

本手順書で構築するAWSリソースの構成は以下の図のようになります。

手順

注釈

CLIハンズオンの実施方法や効果的に行うためのポイントについては、CLIハンズオンガイドをご参照ください。

事前作業

• 事前作業1. Cloud9用ロールへのIAMポリシー追加 (handson-cloud9-environment-role)

1. IAMグループの作成

• 1.1. IAMグループの作成 (handson-cli-group)
• 1.2. IAMグループのポリシーアタッチ (handson-cli-group: ReadOnlyAccess)

2. IAMユーザーの作成

• 2.1. IAMユーザーの作成 (handson-cli-user)
• 2.2. IAMユーザのIAMグループへの追加 (handson-cli-user: handson-cli-group)

3. アクセスキーの作成

• 3.1. APIアクセスキーの作成 (handson-cli-user)
• 3.2. AWS認証ファイルの作成 (handson-cli-user)
• 3.3. IAMユーザーの動作確認

4. アクセスキーの更新

• 4.1. APIアクセスキーの作成 (handson-cli-user)
• 4.2. 最新ではないアクセスキーの無効化 (handson-cli-user)

5. ログインプロファイルの作成・削除

• 5.1. IAMログインプロファイルの作成 (handson-cli-user)
• 5.2. IAMログインプロファイルの削除 (handson-cli-user)

アンケート

今後の参考にするため、本手順についてご意見・コメントをお願いします。

注釈

• 必須項目はありません。お気軽にご回答ください。

• 内容が違えばお一人何回回答していただいても問題ありません。

• はまりどころや誤字・脱字などの修正のご指摘もお待ちしています。

• どんな職種ですか? 選んでください。 運用エンジニア 構築エンジニア 開発エンジニア アーキテクト トレーナー マネージャー 学生
• はまり所はありましたか?
• この手順に関する感想やコメント
• 興味があるAWSサービス

注釈

このアンケートシステムはS3 + Cognitoで構築しています。

後始末

後始末1. アクセスキーの削除

• 後始末1.1. APIアクセスキーの全削除 (handson-cli-user)
• 後始末1.2. AWS認証ファイルの削除 (handson-cli-user)

後始末2. IAMユーザーの削除

• 後始末2.1. IAMユーザのIAMグループからの削除 (handson-cli-user: handson-cli-group)
• 後始末2.2. IAMユーザーの削除 (handson-cli-user)

後始末3. IAMグループの削除

• 後始末3.1. IAMグループのポリシーデタッチ (handson-cli-group: ReadOnlyAccess)
• 後始末3.2. IAMグループの削除 (handson-cli-group)

後始末

• 事後作業1. Cloud9用ロールからのポリシーのデタッチ (handson-cloud9-environment-role)
• 事後作業2. ハンズオン用ディレクトリの削除

備考

参照情報

IAM 公式サイト

https://aws.amazon.com/jp/iam/

• 特徴: https://aws.amazon.com/jp/iam/features/

• 料金: (なし)

• よくある質問: https://aws.amazon.com/jp/iam/faqs/

IAM 公式ドキュメント一覧

https://docs.aws.amazon.com/iam/index.html

• ユーザーガイド: https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/introduction.html

• IAM CLIリファレンス (v1): https://docs.aws.amazon.com/cli/latest/reference/iam/index.html

• IAM CLIリファレンス (v2): https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/index.html

• IAM APIリファレンス: https://docs.aws.amazon.com/ja_jp/IAM/latest/APIReference/Welcome.html

  • Actions: https://docs.aws.amazon.com/ja_jp/IAM/latest/APIReference/API_Operations.html

AWS サービス別資料

https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-service-cut/

• IAM Part1 (2019/01/29)

  • SlideShare: https://www.slideshare.net/AmazonWebServicesJapan/20190129-aws-black-belt-online-seminar-aws-identity-and-access-management-iam-part1

  • PDF: https://d1.awsstatic.com/webinars/jp/pdf/services/20190129_AWS-BlackBelt_IAM_Part1.pdf

  • Youtube: https://youtu.be/K7F5yTThynw

• IAM Part2 (2019/01/30)

  • SlideShare: https://www.slideshare.net/AmazonWebServicesJapan/20190130-aws-black-belt-online-seminar-aws-identity-and-access-management-aws-iam-part2

  • PDF: https://d1.awsstatic.com/webinars/jp/pdf/services/20190130_AWS-BlackBelt_IAM_Part2.pdf

  • Youtube: https://youtu.be/qrZKKF6V6Dc