よくある質問 - AWS IAM | AWS
Q: IAM ユーザーの管理はどのように行うのですか? IAM では、複数の方法で、次の各操作を実行できます。
IAM API、AWS CLI、または IAM コンソールを使用して、ユーザー、グループ、ポリシーを作成および管理できます。ポリシーの作成とテストには、ビジュアルエディターと IAM Policy Simulator を使用することもできます。
Q: グループとは何ですか? グループとは IAM ユーザーの集合です。グループメンバーシップを簡単なリストとして管理します:
Q: IAM ユーザーはどのような種類のセキュリティ認証情報を持つことができますか? IAM ユーザーは、AWS アクセスキー、X.509 証明書、SSH キー、ウェブアプリログイン用パスワード、MFA デバイスなど、AWS でサポートされている認証情報を自由に組み合わせて使用できます。これにより、各ユーザーが、それぞれ自分に適した方法で AWS とやり取りできます。例えば、社員は AWS アクセスキーとパスワードの両方を使用し、ソフトウェアシステムは AWS アクセスキーのみを使用してプログラムを呼び出し、IAM ユーザーはプライベート SSH キーを使用して AWS CodeCommit リポジトリにアクセスし、外部の請負業者は X.509 証明書のみを使用して EC2 コマンドラインインターフェイスにアクセスする、といった具合です。詳細については、IAM ドキュメントの一時的なセキュリティ認証情報を参照してください。
Q: AWS のどのサービスが IAM ユーザーをサポートしていますか? IAM ユーザーをサポートする AWS のサービスの完全なリストについては、IAM ドキュメントの IAM と連携する AWS のサービスを参照してください。AWS は順次、他サービスに IAM サポートを追加する予定です。
Q: ユーザーアクセスを有効および無効にできますか? はい。IAM API、AWS CLI、または IAM コンソールを使用して、IAM ユーザーのアクセスキーを有効および無効にできます。アクセスキーを無効にすると、そのユーザーは AWS のサービスにプログラムでアクセスできなくなります。
Q: AWS アカウントのユーザーを管理できるのは誰ですか? AWS アカウント所有者がユーザー、グループ、セキュリティ認証情報、アクセス許可を管理することができます。また、他のユーザーを管理するために、個々のユーザーに IAM API への呼び出しができるアクセス許可を付与することができます。例えば、企業のユーザーを管理するための管理者ユーザーを作成できます。これは推奨される方法です。他のユーザーを管理するためのアクセス許可をユーザーに付与した場合、そのユーザーは IAM API、AWS CLI または IAM コンソールを使用してその管理を行うことができます。
LDAP のように、ユーザーの集合を階層的に構成できますか? はい。ユーザーおよびグループは、Amazon S3 のオブジェクトパスと同様に、パスを使って編成できます。例えば、/mycompany/division/project/joe などです。
Q: ユーザーをリージョンごとに定義できますか? 今はできません。AWS アカウントと同様、ユーザーは、グローバルエンティティです。ユーザーのアクセス許可を定義するとき、リージョンを指定する必要はありません。ユーザーはどの地理的リージョンでも AWS のサービスを使用できます。
IAM ユーザーの MFA デバイスは、どのように設定されていますか? AWS アカウントの所有者は、複数の MFA デバイスに命令を出すことができます。その後、IAM API、AWS CLI、または IAM コンソールを使用して、これらのデバイスを個々の IAM ユーザーに割り当てることができます。
Q: どのような種類のキーローテーションが IAM ユーザーに対してサポートされていますか? AWS アカウントのルートアクセス識別子と同様に、ユーザーのアクセスキーと X.509 証明書をローテーションできます。IAM API、AWS CLI、または IAM コンソールを使用して、ユーザーのアクセスキーと X.509 証明書をプログラムで管理およびローテーションできます。
Q: IAM ユーザーは個々の EC2 SSH キーを持つことができますか? 初期リリースではできません。IAM は EC2 SSH キーや Windows の RDP 証明書には影響しません。つまり、各ユーザーが、ウェブサービス API へのアクセスに異なる認証情報を使用していても、自分が定義されている AWS アカウントに共通の SSH キーを共有する必要があることになります。
Q: どのような場合に自分の SSH キーを使用できますか?現時点で、IAM ユーザーが自分の SSH キーを使用できるのは、AWS CodeCommit で自分のリポジトリにアクセスする場合のみです。Q: IAM ユーザーの名前は E メールアドレスでなければなりませんか? いいえ。しかし、E メールアドレスでもかまいません。ユーザー名は特定の AWS アカウント内で一意の ASCII 文字列です。E メールアドレスを含め、選択した任意の命名規則を使用して名前を割り当てることができます。
Q: IAM ユーザー名にはどの文字セットを使用できますか? IAM エンティティに使用できる文字は ASCII 文字のみです。
Q: ユーザー名以外のユーザー属性はサポートされていますか? 現時点では使用できません。
Q: ユーザーのパスワードはどのように設定されるのですか? IAM コンソール、AWS CLI、または IAM API を使用して、IAM ユーザーの初期パスワードを設定できます。初期プロビジョニング以降にユーザーのパスワードがクリアテキストで表示されることはなく、API 呼び出しを介して表示されたり返されたりすることもありません。IAM ユーザーが自身のパスワードを管理するには、IAM コンソールの「自分のパスワード」ページを使用します。ユーザーは AWS マネジメントコンソールの右上にあるドロップダウンウリストから [認証情報] オプションを選択することで、このページにアクセスできます。
Q: ユーザーのパスワードポリシーを管理者が定義することはできますか? はい。パスワードの最小長を定義したり、数字を 1 つ以上含めるようにするなど、強力なパスワードを要求できます。自動パスワード失効の実施、以前に使用したパスワードの再利用禁止、次回 AWS サインイン時のパスワードリセットの要求も設定できます。詳細については、IAM ユーザー用のアカウントパスワードポリシーの設定を参照してください。
Q: IAM ユーザーの使用量クォータを設定することはできますか? すべての制限は AWS に一括設定されます。例えば、AWS アカウントの Amazon EC2 インスタンスが 20 個に制限されている場合、EC2 権限を持つ IAM ユーザーはインスタンスを制限まで起動できます。個々のユーザーができることを制限することはできません。
