IAM初級(ルートアカウントを使わないようにする)
目次
問題点~非推奨のRootアカウントログインの使用をやめる~
個人アカウントでAWS使っているとあまり重要視しないと思います。
個人であればぶっちゃけ全てルート権限あっても問題ないと思っています。
しかし仕事だとIAMはAWSサービスの中で1、2位を争うレベル(EC2並み)で重要です。※あくまでわたし個人の意見ですが・・・。
誰にでもRoot権限でマネジメントコンソールにアクセスさせるなんて絶対にあり得ません。
IAMユーザやロールのお話についていく為にもちょっとずつ勉強していきます。
まずはAWSで非推奨であるルートアカウントの使用をやめることにします。
作業記録
ドキュメントを読みながらルートアカウントに代わる管理者ユーザを作成していきます。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/getting-started_create-admin-group.html
IAM 管理者ユーザーの請求データへのアクセスを有効化
ナビゲーションバーでアカウント名を選択
↓
マイアカウントをクリック
↓
IAM ユーザー/ロールによる請求情報へのアクセス
↓
編集をクリック
↓
[レ] IAM アクセスのアクティブ化
↓
更新
管理者ユーザー、グループの作成
| 項目 | 設定 |
|---|---|
| ユーザー名 | Administrator |
| アクセスの種類 | [レ] AWS マネジメントコンソールへのアクセス |
| コンソールのパスワード | [●] カスタムパスワード |
| パスワードのリセットが必要 | [ ] |
| グループの作成 | |
| グループ名 | Administrators |
| ポリシー名 | [レ] AdministratorAccess |
| [タグ] | [ ] |
重要:パスワードをメモるなり.csvをダウンロードしておきましょう。
所感
請求データへのアクセスが特に重要です。
以前、アドミン権限のユーザを作成した際、料金が見れなかったのでルートアカウント使用に徐々に戻ってしまったという経緯があります。
しっかりドキュメント読めば請求データにアクセスでき、ルートアカウントを使用することもやめれたと思うのですが・・・。
ルートアカウントでないとできないこと
翻訳したものを貼っておきます。
↓↓↓
・アカウント設定を変更します。これには、アカウント名、ルートパスワード、および電子メールアドレスが含まれます。連絡先情報、支払い通貨の設定、地域などの他のアカウント設定では、restricte資格情報は必要ありません。
・特定の請求書を表示します。 aws-portal:ViewBilling権限を持つIAMユーザーは、AWS EuropeからVAT請求書を表示およびダウンロードできますが、AWSIncまたはAmazonInternet ServicesPvtはできません。 Ltd(AISPL)。
・AWSアカウントを閉じます。
・IAMユーザー権限を復元します。唯一のIAM管理者が誤って自分のアクセス許可を取り消した場合は、restrictuとしてサインインしてポリシーを編集し、それらのアクセス許可を復元できます。
・AWSサポートプランを変更する
またはAWSサポートプランをキャンセルします。詳細については、IAM forAWSサポートを参照してください。
・リザーブドインスタンスマーケットプレイスに販売者として登録します。
・CloudFrontキーペアを作成します。
・MFA(多要素認証)削除を有効にするようにAmazonS3バケットを設定します。
・無効なVPCIDまたはVPCエンドポイントIDを含むAmazonS3バケットポリシーを編集または削除します。
・GovCloudにサインアップします。
