IAMグループ・IAMユーザーを作ろう
llminatoll.icon IAMユーザー「wakaba」を作って、wakabaでログインしてAWSを使ってね!
llminatoll.icon あれ・・・!? あなたは私、私はあなた・・・(!?)
ルートユーザーは最高権限があり、なんでもできてしまうので危険です。
必要最低限の権利だけ持たせたIAMユーザー「wakaba」を作りましょう。
IAMグループを作る
▼まず最初にwakabaが属するグループを作ります。
上部メニューから「サービス」→「IAM」をクリックします。
https://gyazo.com/c42a85a6da2f92d9a0307ccf76e681ba
▼左サイドメニューの「グループ」をクリックします。
https://gyazo.com/fffc1ebfd14a88b2a951f2ad0ede3471
▼グループ名をつけます。
今回は練習用なのでMangaDockerとしましょう。
https://gyazo.com/b907cf8bd17b20988da16ff65e08929c
▼次に進むとポリシーの選択画面になります。
このグループに属しているユーザーに、どんな権限を与えるかを決められます。
一番上に表示されているAdministrator Accessは、AWSアカウントの替わりになる強力な権限を持っています。
llminatoll.iconなんでもできるの?じゃあこれだけでいいじゃん!と思ったら大間違い
llminatoll.iconこの権限が与えられたユーザーはなんでもできてしまうんだ…!(気をつけなきゃね!)
https://gyazo.com/00ccb961dd48fc2050bf2a7c0a441834
▼今回はEC2しかさわらない予定なので、次のものだけにチェックを入れます。
AmazonEC2FullAccess
AmazonECS_FullAccess
AmazonEC2ContainerRegistryFullAccess
https://gyazo.com/9c688f4a22a635f86be0a42d73b60aca
https://gyazo.com/68c0c779972db639cf1b2d1bb1d96cbb
https://gyazo.com/05e27cbef18eb36131b13c21abb9fefd
llminatoll.icon検索窓でポリシータイプを絞り込めるよ。
llminatoll.icon「MangaDocker」グループに属しているユーザーの権限は、EC2・ECS・ECRしか使えないっていう設定にしたってことだね。
▼最後に確認画面が出るので、「グループの作成」ボタンをクリックしてください。
これでグループができました。
https://gyazo.com/4f9e867f170a20c982d02ea83bab322d
IAMユーザーを作る
▼さて、「MangaDocker」グループができましたので、続けてそのグループに所属するIAMユーザーを作ります。
「ユーザーを追加」をクリックします。
https://gyazo.com/0ec07359668bc2abf3df239feaefd9fa
▼ユーザー名をwakabaとしましょう。
https://gyazo.com/49b0418b3345fd43cb23046b54ba5021
▼「アクセスの種類」は
プログラムによるアクセス
AWSマネジメントコンソールへのアクセス
両方のチェックをONにします。
「コンソールのパスワード」は
自動生成パスワード
のチェックをONにします。
https://gyazo.com/157c417e26084f1d0cbb71c633adf357
▼「ユーザーをグループに追加」を選択し、先ほど作った「MangaDocker」グループのチェックをONにします。https://gyazo.com/b1746d80dd7ddfa286062f3ab1fb187b
▼タグの追加は今回は行わないので、そのままスキップしましょう。「次のステップ:確認」をクリック。
https://gyazo.com/a6f56ac8622cc8174044f5251836a7a3
▼次に確認画面が表示されるので、指定したものになっていることを確認し「ユーザーの作成」をクリック。これでユーザーができました。
「.csvのダウンロード」をクリックすると、IAMユーザーのアカウント名、アクセスキー一式をダウンロードできます。
https://gyazo.com/44a7d8e41c6de5c791a96d352c71046a
🚨これはとても大事なものです
llminatoll.iconアクセスキーIDやシークレットアクセスキーを、外部から見られる可能性のある場所や、アップロードしてしまう可能性のある場所(リポジトリの中など)には置かないようにしましょう!
llminatoll.icon 誤ってソースコードと一緒にアクセスキーID・シークレットアクセスキーをアップロードしてしまうと悪用される可能性があるよ
ダウンロードした.csvファイルをエディタまたはエクセルにドラッグ&ドロップして開いてみましょう。中身が見られます。
CSVには次の順で書かれています。
User name,
Password,
Access key ID,
Secret access key,
Console login link
table:アカウント情報の例
項目 例
ユーザー名 wakaba
アクセスキーID AKIAJ7PQER143X9Z71
シークレットアクセスキー 2c389dSilbump10f1CKN29CotdNackey43
AWSアカウントID 10149821112929(Console login linkの数字の部分)
llminatoll.icon次の工程で、ターミナルからAWSにログインするときに使いますので大事にとっておきましょう⭐️
IAMユーザーでログインし直そう
今はルートアカウントでログインしてしまっているので、
Console login linkをクリックしてIAMユーザーでログインしなおしましょう。
( https://101*********.signin.aws.amazon.com/console というURLです)
「wakaba」としてログインできましたか?
https://gyazo.com/4f8b31ff3b97fd33b89e3b8ba7d51a4e
▼ためしに、上部メニューの「サービス(Services)」から「S3」を開いてみると、S3に関しては権限を付与していないため、ちゃんとエラーになり使えないはずです。
https://gyazo.com/8fcb18caa03d0eed0c550c8609cf14cf
▼なお今回権限を付与した「EC2」「ECS」「ECR」は使えるはずです。
https://gyazo.com/560fa2b1b4cb47b6d8f00087c98862cb
llminatoll.icon☘コラム:IAMユーザーは人数分作ろう
今回は練習なので「wakaba」という名前のIAMユーザーを1人分しか作りませんが、会社などで複数人で運用する場合、IAMユーザーはメンバー1人につき1つ作るようにしましょう。マンガでわかるDocker③の漫画の中にもあるように、同じIAMユーザーを共同で使うと、誰が何をやったかわからなくなるからです。 次