IAM の管理といえば、いろいろ大変とのイメージが強かったが、2022年に IAM Identity Center が導入され、管理が容易になった

普段は管理者にまかせっきりの AWS のユーザー管理を試してみようと思う

IAM Identity Center 設定

有効化されていない場合、はじめに IAM Identity Center に進み、有効化する必要がある

一つ Tips としては、使うリージョンが固定化されている場合、この時点でリージョンを選んでおくとよい (今回の例では「東京」)

initialize

グループ作成

はじめにグループの設定から、AWS アカウントに紐づけるのはユーザー単位でもグループ単位でも可能

ユーザーとグループの概念が完全に別になっているので、仮にグループを消しても、ユーザーが消えることはない

AWSアカウントに紐づけたグループに対して、許可セットを設定できるので、基本的にはグループを作ったほうがよさそう

グループ作成ではグループ名を設定する程度

add-group

マルチアカウント許可 - 許可セットの作成

許可セットを作成 に進む

permission-set-1

テンプレートからも選ばるし、カスタム許可セットを作成も可能

今回は事前定義から選択

permission-set-2

AWS マネージドポリシーがいい感じにまとまっていて素晴らしい

permission-set-list

詳細設定も可能

今回はセッション期間はデフォルトの1時間を指定

permission-set-3

これで許可セットが完成

マルチアカウント許可 - AWSアカウント設定

AWSアカウントの設定

AWS Organizations を使うことが前提の作りになっているので、組織構造を作っておくといいと思う (個人でも、sandbox や development など作っておくといい気がする)

組織に紐づいたアカウントをチェックボックスで選び、ユーザーまたはグループを割り当てを選択

aws-account-1

グループをチェックボックスで選び、次へ

aws-account-2

許可セットを選び、あとは流れに従って 次へ 進めば完了

aws-account-3

ユーザー作成

ユーザー作成では、ユーザー名・メールアドレス・名・姓が必要

作成後でもメールアドレスも含め編集可能

add-user-1

ユーザー作成の流れで、グループ登録が可能

add-user-2

ユーザーを作成すると、このようなメールがユーザーに届き、以降はユーザー側での設定

ユーザー側での操作

届いたメールの Accept invitation をクリックすれば、使用可能

invitation-1

続いて、新規パスワードの設定

invitation-2

MFAデバイスの登録

1password や Google Authenticator などを使い、認証アプリをあらかじめ準備しておく

invitation-3

ステップに従い、MFA を割り当て まで進める

invitation-4

ここまで行えば完了

invitation-5

これ以降、ダッシュボードのAWS アクセスポータルに書かれた URL からアクセス可能

ex: https://d-0000000000.awsapps.com/start

マネジメントコンソールへのリンクとコマンドラインアクセスの設定方法が表示される

(複数のAWSアカウント・許可セットごとに表示)

signin

設定方法もわかりやすく提示できるので、管理者への問い合わせも減りそう

guide