ハンズオン(簡易版): IAM基礎(ユーザー)

作成者:

波田野 裕一

公開日:

2021-07-27

更新日:

2024-01-04

目的

IAMユーザーの要素の作成・更新・削除を行う。

前提

作業権限条件

本作業は、以下の権限を有する「IAMユーザー」もしくは「IAMロール/インスタンスプロファイルが付与された環境(Cloud9などを含むEC2環境)で行います。

作業権限条件: 必要なIAMポリシー

• IAMFullAccess

必要なIAMポリシーを利用する環境(「IAMユーザー」「IAMグループ」もしくは「IAMロール/インスタンスプロファイル」)にアタッチした後に、手順を実施します。

作業環境条件

注釈

本手順は、Cloud9環境での実施を推奨します。

• AWS CLIハンズオンの環境構築手順: http://prototype-handson-cli.s3-website-ap-northeast-1.amazonaws.com/handson_light_web-aws_prepare/handson_light_web-aws_prepare-cloud9/index.html

本作業は、以下の環境で行います。

環境条件1: OSとバージョン

本作業は、Amazon Linux 2"Karoo"以降のOS環境での実施を前提としています。

コマンド:

cat /etc/system-release

結果(例):

Amazon Linux release 2 (Karoo)

環境条件2: シェルとバージョン

本作業は、bash "4.2.46(2)-release"以降のシェル環境での実施を前提としています。

コマンド:

bash --version \
  | head -1

結果(例):

GNU bash, バージョン 4.2.46(2)-release (x86_64-redhat-linux-gnu)

環境条件3: AWS CLIのバージョン

本作業は、AWS CLIのバージョン"1.25.94"以降での実施を前提としています。

コマンド:

aws --version

結果(例):

aws-cli/1.25.94 Python/3.7.10 Linux/4.14.291-218.527.amzn2.x86_64 botocore/1.27.93

構成

本手順では、以下の構成のリソースを扱います。

手順 (CloudShell)

Cloud9環境を利用する場合

Cloud9環境への権限追加

• 事前作業(CloudShell): インスタンスプロファイルのIAMロールへのIAMポリシーのアタッチ (CloudShell: IAMFullAccess)

手順 (Cloud9)

注釈

CLIハンズオンの実施方法や効果的に行うためのポイントについては、CLIハンズオンガイドをご参照ください。

手順の対象リソースと順番

手順の対象リソースと順番は以下の通りです。

事前準備

ポリシードキュメントの作成

• 事前作業. ポリシードキュメントの作成 (handson-cli-iam-user-basic_user-policy)

1. IAMユーザー

IAMユーザーの作成

• 1. IAMユーザーの作成 (handson-cli-iam-user-basic_user-user)

2. IAMユーザー (認証: IAMユーザー共通)

パスワードポリシー

AWSアカウントエイリアス

3. IAMユーザー (認証: IAMユーザー個別)

ログインプロファイル

ログインプロファイルの作成

• 3.1.1. IAMログインプロファイルの作成 (handson-cli-iam-user-basic_user-user)

マネジメントコンソールへのサインイン確認

警告

以下の手順は、ブラウザのプライベートモードでサインインを試してみてください。

• 3.1.2. マネジメントコンソールへのサインイン確認 (IAMユーザー: handson-cli-iam-user-basic_user-user)

ログインプロファイルの更新

• 3.1.3. IAMログインプロファイルの更新 (handson-cli-iam-user-basic_user-user)

MFAデバイス

MFAデバイスの登録

• 3.2.1. 仮想MFAデバイスの作成 (handson-cli-iam-user-basic_user-user-mfa)
• 3.2.2. 仮想MFAデバイスの有効化 (handson-cli-iam-user-basic_user-user)

MFAデバイスを利用したマネジメントコンソールへのサインイン確認

警告

以下の手順は、ブラウザのプライベートモードでサインインを試してみてください。

• 3.2.3. マネジメントコンソールへのサインイン確認 (IAMユーザー(MFA利用): handson-cli-iam-user-basic_user-user)

アクセスキー

アクセスキーの作成

• 3.3.1. IAMアクセスキーの作成 (handson-cli-iam-user-basic_user-user)
• 3.3.2. クレデンシャルファイルの作成 (handson-cli-iam-user-basic_user-user)

2つ目のアクセスキーの作成

• 3.3.3. 最新のIAMアクセスキーの作成 (handson-cli-iam-user-basic_user-user)

最新ではないアクセスキーの無効化

• 3.3.4. 最新ではないアクセスキーの無効化 (handson-cli-iam-user-basic_user-user)

最新ではないアクセスキーの削除

• 3.3.5. 最新ではないIAMアクセスキーの削除 (Inactive: handson-cli-iam-user-basic_user-user)
• 3.3.6. クレデンシャルファイルの削除 (handson-cli-iam-user-basic_user-user)

2つ目のアクセスキーのAWS CLI認証情報ファイルの作成

• 3.3.7. クレデンシャルファイルの作成 (handson-cli-iam-user-basic_user-user)

(参考) 署名証明書のアップロード

(参考) 署名証明書の更新

サービス固有の資格情報

サービス固有の資格情報の作成

サービス固有の資格情報の更新

SSH公開鍵のアップロード

SSH公開鍵の更新

4. IAMユーザー (認可)

管理ポリシー

AWS管理ポリシーのアタッチ

• 4.1.1. IAMユーザーへのIAMポリシーのアタッチ (handson-cli-iam-user-basic_user-user: IAMUserChangePassword)

カスタマー管理ポリシーのアタッチ

• 4.1.2. IAMポリシーの作成 (handson-cli-iam-user-basic_user-policy)
• 4.1.3. IAMユーザーへのIAMポリシーのアタッチ (handson-cli-iam-user-basic_user-user: handson-cli-iam-user-basic_user-policy)

インラインポリシー

ユーザーインラインポリシーの作成

• 4.1.4. IAMユーザーのインラインポリシー作成 (handson-cli-iam-user-basic_user-user)

アクセス許可境界

ユーザーアクセス許可境界 (AWS管理ポリシー)

• 4.2.1. IAMユーザーのアクセス許可境界の作成 (AWS管理ポリシー: handson-cli-iam-user-basic_user-user)
• 4.2.2. IAMユーザーのアクセス許可境界の削除 (AWS管理ポリシー: handson-cli-iam-user-basic_user-user)

ユーザーアクセス許可境界 (カスタマー管理ポリシー)

• 4.2.3. IAMユーザーのアクセス許可境界の作成 (カスタマー管理ポリシー: handson-cli-iam-user-basic_user-user)
• 4.2.4. IAMユーザーのアクセス許可境界の削除 (カスタマー管理ポリシー: handson-cli-iam-user-basic_user-user)

5. 動作確認

アクセスキーの動作確認

• 5. AWS CLIコマンドの実行

6. タグ

タグの作成

アンケート

今後の参考にするため、本手順についてご意見・コメントをお願いします。

注釈

• 必須項目はありません。お気軽にご回答ください。

• 内容が違えばお一人何回回答していただいても問題ありません。

• はまりどころや誤字・脱字などの修正のご指摘もお待ちしています。

• どんな職種ですか? 選んでください。 運用エンジニア 構築エンジニア 開発エンジニア アーキテクト トレーナー マネージャー 学生 営業 記者
• はまり所はありましたか?
• この手順に関する感想やコメント
• 興味があるAWSサービス

注釈

このアンケートシステムはS3 + Cognitoで構築しています。

後始末 (Cloud9)

クリーンアップの対象リソースと順番

クリーンアップの対象リソースと順番は以下の通りです。

クリーンアップ1. タグの削除

タグの削除

クリーンアップ2. IAMユーザー (認可)

インラインポリシー

ユーザーインラインポリシーの削除

• クリーンアップ2.1. IAMユーザーのインラインポリシー削除 (handson-cli-iam-user-basic_user-user)

管理ポリシー

カスタマー管理ポリシーのデタッチ

• クリーンアップ2.2. IAMユーザーからIAMポリシーのデタッチ (handson-cli-iam-user-basic_user-user: handson-cli-iam-user-basic_user-policy)
• クリーンアップ2.3. IAMポリシーの削除 (handson-cli-iam-user-basic_user-policy)

AWS管理ポリシーのデタッチ

• クリーンアップ2.4. IAMユーザーからIAMポリシーのデタッチ (handson-cli-iam-user-basic_user-user: IAMUserChangePassword)

クリーンアップ3. IAMユーザー (認証: IAMユーザー個別)

サービス固有の資格情報

サービス固有の資格情報の削除

SSH公開鍵の削除

アクセスキー

アクセスキーの削除

• クリーンアップ3.1.1. IAMアクセスキーの削除 (handson-cli-iam-user-basic_user-user)
• クリーンアップ3.1.2. クレデンシャルファイルの削除 (handson-cli-iam-user-basic_user-user)

(参考) 署名証明書の削除

MFAデバイス

MFAデバイスの登録解除

• クリーンアップ3.2.1. 仮想MFAデバイスの無効化 (handson-cli-iam-user-basic_user-user)
• クリーンアップ3.2.2. 仮想MFAデバイスの削除 (handson-cli-iam-user-basic_user-user-mfa)

ログインプロファイル

ログインプロファイルの削除

• クリーンアップ3.3. IAMログインプロファイルの削除 (handson-cli-iam-user-basic_user-user)

クリーンアップ4. IAMユーザー (認証: IAMユーザー共通)

AWSアカウントエイリアス

(参考) パスワードポリシー

クリーンアップ5. IAMユーザー

IAMユーザーの削除

• クリーンアップ5. IAMユーザーの削除 (handson-cli-iam-user-basic_user-user)

事後作業 (Cloud9環境)

ハンズオン環境の片付け

• 事後作業. ハンズオン用ディレクトリの削除

後始末 (CloudShell)

Cloud9環境を利用した場合

Cloud9環境の停止

• CloudShell(事後作業)1. EC2インスタンスの停止 (CloudShell: aws-cloud9-handson-cli-env)

Cloud9環境からの権限剥奪

• CloudShell(事後作業)2. インスタンスプロファイルのIAMロールからのIAMポリシーのデタッチ (CloudShell: IAMFullAccess)

備考