その使い方危険ですよ?IAMユーザーを使ったセキュリティ対策

セキュリティ
スポンサーリンク

AWSのルートユーザーをそのまま使っていませんか?

または、作成するのが面倒ということで、一つのIAMユーザーを共有して使っていませんか?

もしそうだとしたら・・・
その使い方、危険ですよ!!

今回は、セキュリティ対策の基本中の基本。
IAMユーザーの使い方についてお話したいと思います。

★本記事では以下の目次で進めさせていただきます!!( ^ω^ )

  1. IAMユーザーとルートユーザー
  2. なぜルートユーザーは使わない方がいいのか?
  3. なぜ1利用者につき1IAMユーザーとした方がいいのか?
  4. IAMユーザーの作成自体に料金はかからない
  5. AWSにおける権限管理
  6. IAMユーザーの作成方法とIAMグループを使った効率的な権限管理
    1. IAMユーザーの作成方法
    2. IAMグループに権限を与える

IAMユーザーとルートユーザー

そもそもIAMユーザーとは何でしょうか?

AWS上にはユーザーというと以下の2種類が存在します。

  1. ルートユーザー
  2. IAMユーザー

1.ルートユーザーはAWSアカウントを新規登録すると、自動で作成されるすべての権限をもったユーザーです。
ルートユーザーに対して権限を変更することはできません。

また、ルートユーザしか行えない以下のことがあるというのも違いの1つです。

  • AWSアカウント全体の設定変更(メールアドレス/パスワード変更など)
  • AWSサポートのプラン変更
  • EC2からのメール上限緩和申請
  • 逆引きDNS申請
  • 侵入テスト申請
  • AWSアカウントの停止

2.IAMユーザーは必要に応じて追加できるアカウントです。
IAMユーザーに対しては自由に権限を変更できます。

なぜルートユーザーは使わない方がいいのか?

AWSでは「ルートユーザーを日々の開発や運用で使うのは極力避けるべき」とうたっています。

なぜならば、ルートユーザーは権限が強力だからです。

ルートユーザーであれば何でもできてしまうため、悪用されるリスクもありますし、誤った操作で大損害を被ることだってあります。

ルートユーザーしか行えない作業以外は、極力IAMユーザーを作成して利用するのがオススメです。

なぜ1利用者につき1IAMユーザーとした方がいいのか?

操作履歴が特定できるというのが大きな理由です。

AWSマネジメントコンソールへは、インターネットを介してログインします。

IPアドレス制限の有無はあるにしろ、言ってしまえばインターネットがあればどこからだってアクセスできます。
そんな環境で、IAMユーザーを共有したら「誰がこの操作したん?」ってなりかねません。

CloudTrailで自分と特定されるログが取得されていると知ったら、誰だって下手なことはしようとは思いませんよね。

なので、利用者ごとにIAMユーザーを払い出すことがセキュリティ対策を考える上で基本中の基本となっているわけです。

※どうやったらAWSの操作履歴を確認できるのか知りたい方は次の記事をどうぞ!!
複数人でAWSを利用する時に知っておくべきCloudTrailの使い方

IAMユーザーの作成自体に料金はかからない

「IAMユーザーを利用者ごとに払い出したら、その分料金がかかるんじゃないの?」

とご心配される方もいらっしゃるかと思います。

ご安心ください。
どんなにIAMユーザーを作ろうがIAMユーザー自体に料金はかかりません。
無料です!!

AWSにおける権限管理

AWSでは、権限は”IAMポリシー“という名で管理されています。

IAMポリシーには、「どのAWSサービスに対する」「どのような操作を」許可するか(または許可しないか)が定義されています。

このIAMポリシーは、AWSであらかじめテンプレートとして作成されているものもあれば、
あなたが独自にカスタマイズして作成することも可能です。

このIAMポリシーを「どのユーザーに」または「どのグループに」付与するかとことでIAMユーザーの権限が確定されます。

IAMユーザーの作成方法とIAMグループを使った効率的な権限管理

それでは実際のIAMユーザーの作成と権限を与える方法についてご説明します。

IAMユーザーの作成方法

(1)IAMコンソール画面を開きます

(2)左メニューの[ユーザー]をクリックし、[ユーザーの追加]をクリックします

(3)”ユーザー名”を入力し、パスワードを設定した後、[次のステップ:アクセス権限]をクリックします

(4)グループの作成を行なっていない場合は、[グループの作成]をクリックし、グループの作成を行います

(5)作成したグループを選択して、[次のステップ:タグ]をクリックします

(6)[次のステップ:確認]をクリックします

(7)[ユーザーの作成]をクリックします

IAMグループに権限を与える

もちろんIAMユーザー個別に権限(IAMポリシー)を与えることも可能ですが、
管理が楽、そして作業も楽という理由でほとんどの場合、IAMグループに権限を与えるケースが多いです。

IAMグループに権限を与えることで、グループに所属しているユーザー全員に同じ権限が一括で付与されます。

今回はIAMグループに権限を与える方法をご説明します。

(1)IAMコンソール画面を開きます

(2)左メニューの[グループ]をクリックし、権限を与えたいグループをクリックします

(3)[アクセス許可]タブをクリックします

(4)[ポリシーのアタッチ]をクリックします

(5)与えたい権限(ポリシー)を選択し、[ポリシーのアタッチ]をクリックします

(6)グループにIAMポリシーが適用されました。
グループに所属しているユーザーをみてみると、IAMポリシーが適用されているのがわかります。

このようにしておけば、グループにIAMユーザーを新規追加することで、
わざわざIAMポリシーを適用しなくてすむので効率的に管理ができます。

いかがでしたでしょうか?
IAMユーザーはセキュリティに直結する部分ですので、きちんと作成・管理をするのが当たり前のものですし、
簡単に作成できる、ということがおわかりいただけたかと思います。

以上、hidesanでした!

タイトルとURLをコピーしました