AWSをご利用の方で、ログイン時に「ルートユーザー」と「IAMユーザー」を選択出来るのはご存知でしょうか。
本記事では、AWSのログイン方法として提供されている2種類のユーザーについてログイン方法はもちろん、それぞれの特徴や役割についてご紹介していきます。
目次
AWKSへのLoginアカウント
AWSへログインする場合、アカウントを作成してログインすることになるわけですが、AWSでは「ルートユーザー」と「IAMユーザー」と呼ばれる2種類のユーザーアカウントが存在します。
ルートユーザー
ルートユーザーはAWSを利用する際に最初に作成するアカウントで、AWSが提供する全てのサービスやリソースにアクセス可能な権限を持つユーザーです。
作成時に登録した「メールアドレス」と「パスワード」を利用してログインします。
ルートユーザーはAWSの全ての機能を利用出来るため便利ではありますが、権限が強すぎるため日常のタスクを遂行するには非推奨とされており、あくまで業務にはIAMユーザーを利用することが推奨されています。
IAMユーザー
IAMは「Identity and Access Management」の略称で、AWSサービスの認証や認可を設定することが出来るサービスです。
IAMユーザーは、AWSサービスの権限が設定されたユーザーのことで、IAMユーザー毎に利用出来るサービスに制限を掛けることが可能となります。
日常的に利用するユーザーにはこのIAMユーザーを使用することが推奨されています。
ルートユーザーでAWSにLogin
では実際にルートユーザーでAWSにログインする方法を確認していきます。
AWSアカウントの作成
AWSアカウント作成画面にアクセスして、「Eメールアドレス」「パスワード」「AWSアカウント名」を入力します。
ここで入力した「Eメールアドレス」と「パスワード」がルートユーザーのログイン情報となります。
AWSのアカウント作成が完了すると、AWSマネジメントコンソール画面が開きます。
この状態がAWSのルートユーザーでログインしている状態となります。
ではアカウント情報から「サインアウト」を選択して一度ログアウトしておきましょう。
ルートユーザーとしてLogin
AWSからログアウトした状態の画面が表示されていますので、画面右上の「コンソールにサインイン」ボタンをクリックします。
ログイン画面が表示されるので「ルートユーザー」が選択状態であることを確認し、アカウント作成時に設定したメールアドレスを入力し「次へ」ボタンをクリックします。
セキュリティチェックがあるので、画面に表示された英数字を入力して「送信」ボタンをクリックします。
アカウント作成時に設定したパスワードを入力して「サインイン」ボタンをクリックしましょう。
AWSマネジメントコンソールが表示出来ていればログイン完了です。
IAMユーザーを作成してAWSにLogin
次にIAMユーザーを作成してAWSにログインする方法を確認していきます。
IAMユーザーの作成
IAMユーザーはAWSアカウントを作成した時点では存在しないアカウントなので、IAMユーザーを作成する必要があります。
AWSにルートユーザーでログインします。
上部の検索窓から「IAM」と検索し表示されたサービスを選択します。
IAMのダッシュボードが開くので、左側のカテゴリ一覧から「ユーザー」をクリックします。
ユーザーカテゴリーの画面が開くので「ユーザーを追加」ボタンをクリックします。
「ユーザー名」と「アクセスの種類」を求められますので、サンプルではユーザー名を「potepan-user」の「パスワード」形式でアクセスするように設定します。
パスワード形式を選択すると追加項目として「コンソールのパスワード」と「パスワードのリセットが必要」の設定を行うことが出来るようになります。
今回はデフォルトの状態のままで「次のステップ:アクセス権限」ボタンをクリックします。
次のステップではIAMユーザーに対するアクセス許可の設定を行うことが出来ます。
今回はサンプル用にIAMユーザーを作成したいだけなので、デフォルトのまま「次のステップ:タグ」ボタンをクリックします。
このステップでは、IAMユーザーにタグを付けることが出来ますが、オプションなのでスキップして「次のステップ:確認」ボタンをクリックします。
ここまでに設定してきたIAMユーザー情報の確認画面が表示されます。
問題なければ「ユーザーの作成」ボタンをクリックしましょう。
サンプルのようにパスワードをデフォルトで生成に設定した場合、この画面で「.csvのダウンロード」ボタンをクリックするか、パスワード列の「表示」をクリックしてパスワードを控えておいてください。
注意書きにもあるようにパスワードの確認が出来るはこの画面だけなので忘れずにチェックしておきましょう。
IAMユーザーでログイン
ではAWSコンソールにアクセスしてIAMユーザーでログインしてみましょう。
IAMユーザーを選択し、アカウントID(12桁)を入力します。
アカウントIDはルートユーザーでログインした際にアカウント情報から確認出来るマイアカウントの番号です。
アカウントIDを入力出来たら「次へ」ボタンをクリックします。
次の画面で、先程作成したIAMユーザーの「ユーザー名」と発行された「パスワード」を入力して「サインイン」ボタンをクリックします。
IAMユーザーを作成した際の設定で、初回ログイン時にパスワードを変更するように設定していた場合、画像のようにパスワード変更画面が表示されるので新しいパスワードを設定して「パスワード変更の確認」ボタンをクリックします。
AWSマネジメントコンソールのトップ画面が開いて、ユーザー名が作成したIAMユーザーになっていることを確認出来ます。
AWSにLogin出来ない場合の確認事項
AWSにLogin出来ない理由は様々な要因があげられます。
問題を切り分けて考えることが大切ですので、下記の点を意識しながら確認を進めてください。
AWSのサービス稼働状況を確認
AWSにLogin出来ない場合、AWSのサービス自体がダウンしているかをまずは確認する必要があります。
他のアカウントではアクセス出来ているかの確認や、サービス停止情報が出ていないかを確認しましょう。
ブラウザ問題の確認
ブラウザのキャッシュやCookieの影響でログインに失敗してしまう可能性もあるため、ご利用のブラウザのキャッシュとCookieを削除して再度ログイン出来るか確認してみましょう。
他のブラウザでログイン出来るかを試してみることも大事です。
IAMユーザーの権限確認
IAMユーザーを利用する場合、AWSマネジメントコンソールにはログイン出来るのにサービスにアクセス出来ないといったケースが発生します。
この場合、不具合ではなく単純にIAMユーザーに権限が割り当てられていない可能性も考慮しないといけません。
ご自身が権限情報を管理していない場合には、システム管理者に問い合わせてみましょう。
さいごに: AWSの普段利用にはIAMユーザーでのLoginが推奨
本記事では、AWSへのログイン方法として選択可能なルートユーザーとIAMユーザーについてご紹介してきました。
AWS公式からもルートユーザーはあくまで特定の作業時のみ利用し、普段は権限設定が行われたIAMユーザーでのサービス利用が推奨されています。
ルートユーザーで全ての操作を実施しているユーザーも少なくありませんが、思わぬ事故を避けるためにもIAMユーザーでのログインも積極的に活用してみてください。
筆者はAWSアカウントを既に保持しているため、この後のアカウント作成画面はスキップします。