②ルートユーザー・IAMユーザー

• 0. AWSアカウント作成
• 1. 解説動画
• 2. 概要
• リソース一覧
• 公式URL
• 3. 解説手順
• 4. CFnテンプレート
• IAM User
• 5. 予習
• 6. FAQ（随時追加）

AWSアカウント作成後、ルートユーザーの初期設定、IAMユーザーの作成と初期設定を行いましょう！

0. AWSアカウント作成

本題に入る前に、もしまだAWSアカウントを作成（＝AWSを契約）されていない方がいらっしゃれば、作成をお願いいたします。既に作成されている方はそのまま使って頂いて大丈夫です。

作成手順はAWS公式の説明が一番分かりやすいので、詳細は割愛させて頂きます。サポートプランは無料の「ベーシック」でかまいません。

AWS アカウント作成の流れ | AWS

AWS アカウントを作成すると、Amazon EC2 や Amazon S3 をはじめ 60 以上の製品を 1 年間無料でお試しいただけます。 また、AWS クラウドの世界中のリージョンで提供されるすべてのサービスを始めることができます。 新規作成していただいたアカウントのご本人確認を行います。電話（自動音声）または、テキストメッセージ (SMS) による認証をお選びいただけます。 ※ ご入力いただいた電話番号に、日本語の自動音声による検証コードの入力を求める確認電話または SMS が直ちに届きます。 ① でご希望の検証コードの受け取り方法を選択します。 国コードで、日本または会社所在の国を選択し、電話番号を ②にハイフン・記号なしで入力します。（例：09012345678） ③で、セキュリティチェック文字列として表示された英数字を入力します。 ④のボタンをクリックします。 携帯電話等で非通知の着信拒否設定を行っている場合は、着信拒否設定の解除が必要 です。オレンジのボタンをクリックする前に、必ず電話がかかる状態にしておいてください。 ④のボタンをクリックすると、即座に音声電話または SMS が届きます。②の電話番号入力欄にはすぐに着信を受け取れる電話番号をご入力ください。 国番号選択を誤ると電話がかかってきませんので、必ず正しい国コードをご選択の上、ハイフンなしで電話番号をご入力ください。 （例：03-3456-7890 の場合、334567890） SMS または電話（自動音声）で 4 桁の 検証コードが届きます。 検証コードが届いたら、① の入力欄に検証コードを入力し、② の「コードの検証」ボタンをクリックします。 画面が自動的に切り替わったら本人確認は完了となりますので、「続行」ボタンをクリックします。 ※電話認証を受電する電話が受電できる状況でない場合や電話回線の混雑などで、自動認証による身元確認作業に失敗する場合があります。失敗した場合は、12 時間以上間をおいて再度電話認証をお試しいただくか、AWS カスタマーサービス(日本語：平日 9:00～18:00)までお問い合わせください。 おめでとうございます！ AWS アカウントの作成が完了しました！ 数分ほどで、ご登録メールアドレス宛に確認のための E メールが届きます。画面右側の「コンソールにサインインする」ボタンをクリックすると、すぐに AWS クラウドを使用開始していただくことができます。 また、本画面でご紹介している 10 分間チュートリアルでは、Amazon EC2 を使った仮想マシンの起動方法、Amazon S3 でのファイル保存の開始方法、ウェブアプリケーションや WordPress ウェブサイトの起動方法を、ステップバイステップで学ぶことができます。1 年間の無料利用枠でこれらの開始方法をぜひご活用ください。 10 分間チュートリアルはこちら "

aws.amazon.com

解説動画

※動画の画質が悪い場合は、歯車から1080pの画質を選択ください

1. 解説動画

ここから本題になります。

※動画の画質が悪い場合は、歯車から1080pの画質を選択ください

↓動画リニューアル対応中のため、上記と冒頭の部分が重複します。4:05〜 ご覧ください

※動画の画質が悪い場合は、歯車から720pの画質を選択ください

※アクセスキーの発行時に次のような画面が追加されました。「どういうケースでアクセスキーを使うの？」というアンケートに過ぎません。「コマンド (Command Line Interface＝CLI)」を選ぶと「⚠︎ その場合は他にもっとオススメの方法があるよ」と表示されるので、「そのオススメを理解した上で、なおアクセスキーを作りたいんだ」というチェックを入れればOKです。

2. 概要

ルートユーザーとIAMユーザーの違いについて表でまとめました。

AWSで必須のセキュリティ設定が 4つあります。

1. ルートユーザーのアクセスキーは絶対に使わない （新たにアクセスキーを作成しなければOK）
2. ルートユーザーや権限の強いIAMユーザーでは、MFA（多要素認証）を有効にする （多要素認証は無料が良ければ Authy がオススメ。バックアップや端末間での共有可 → https://authy.com/ ） （もし有料契約でも良ければ 1Password が一番のオススメ。ブラウザからの入力が格段に楽 → https://1password.com/ ）
3. パスワードポリシーを強化する （最近はデフォルトでも、8文字以上 ＆ 3種の文字組み合わせになっているのでOK）
4. IAMユーザーの権限管理はIAMユーザーグループで行う

リソース一覧

公式URL

IAMユーザーとIAMユーザーグループはIAMのリファレンス内に記載があります。

• Docs: AWS アカウントのルートユーザー - AWS Identity and Access Management Docs: IAM ユーザー - AWS Identity and Access Management
• CFn: IAM リソースタイプのリファレンス - AWS CloudFormation
• CLI: iam — AWS CLI v2 Command Reference

3. 解説手順

1. ルートユーザーでログインし、MFA（2段階認証）を有効にする ＆ 動作確認 https://console.aws.amazon.com/
2. パスワードポリシーを設定する（確認する）
3. 東京リージョン(ap-northeast-1)のCFnでIAMユーザーを作成する
4. IAMユーザーでログインし、MFA（2段階認証）を有効にする ＆ 動作確認
5. IAMユーザーでアクセスキーを発行する
6. AWS CLI (Command Line Interface) を使えるようにする ※Macの場合: brew install awscli ←失敗する場合はFAQも参照ください ※Windowsの場合: https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/install-cliv2-windows.html より最新バージョンをインストールください aws configure aws s3 ls ← エラーなくS3の一覧が表示されたら動作確認OKです！

4. CFnテンプレート

IAM User

Group と User を作成します。

【お願い】S3バケットを最初に手で作ってください。バケット名は cf-{アカウント番号}-{リージョン名} でお願いします（例: cf-123456789012-ap-northeast-1）その中にCFnのテンプレートファイルを置いて頂きます。

【注意】UserRubiconLink と rubicon.link をお好きな名前に置換してください。変えなくてもOKです。このテンプレートに限り、VSCodeやメモ帳などで「置換」機能を使って頂いた方が間違いないです！

【注意】東京リージョンで作成ください。間違えて別なリージョンに作った場合は削除後、再度東京リージョンで再度作り直してください。

CFn Stack Name: iam-user S3 File Name: iam-user.yml

---
### [Change Name] UserRubiconLink, rubicon.link
AWSTemplateFormatVersion: "2010-09-09"
Description: Create IAM User etc.

Resources:
  ## IAM: Group
  GroupAdministrators:
    Type: AWS::IAM::Group
    Properties:
      GroupName: Administrators
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AdministratorAccess

  ## IAM: User
  UserRubiconLink: ### [Change Name]
    Type: AWS::IAM::User
    Properties:
      UserName: rubicon.link ### [Change Name]
      LoginProfile:
        Password: 123456=NuFuA
        PasswordResetRequired: true
      Groups:
        - !Ref GroupAdministrators

Outputs:
  ## IAM: Group
  GroupAdministrators:
    Value: !GetAtt GroupAdministrators.Arn
    Export:
      Name: !Sub ${AWS::StackName}-GroupAdministrators

  ## IAM: User
  UserRubiconLink: ### [Change Name]
    Value: !GetAtt UserRubiconLink.Arn ### [Change Name]
    Export:
      Name: !Sub ${AWS::StackName}-UserRubiconLink ### [Change Name]

【変更履歴】

• 2022-01-10：IAMユーザーとIAMユーザーグループの順番を逆にした（逆にしてもCFnの動作に変更はない）
• 2023-04-14：コメント文を全般的に修正

5. 予習

1. 解説動画の通り、設定・作成してください ※CFnでエラーになった場合は、EventsタブのスクリーンショットをSlackでください （AWSの画面が変わっている場合は同じ設定項目を探してください）
2. CFnで作成したリソース（IAMユーザーとIAMユーザーグループ）を手でも作ってください。作成中に分からなかった設定項目については調べたり、質問のためにメモしておいてください
3. 【宿題】下記の項目について調べて、次回のZoomで説明してください
1. 日常的に使うべきなのは、ルートユーザー・IAMユーザーのどちらですか？
2. IAMユーザーのアクセスキーとシークレットが漏洩した場合に起きること（危険性）
4. 【2022年2月1日以降は設定不要です。カード払いの方は自動的に日本円になるようです】必須ではありませんが、AWSからの請求を日本円(JPY)に変えることをオススメします。米ドル(USD)のままではカード会社に1.6〜2.2%の外貨取扱手数料を上乗せされてしまいますので。日本円(JPY)にするとAWS側で0.6%(?)程度の手数料がかかるようですが、カード会社の手数料よりはマシです。変更手順は次の通りです。変更すると来月分の請求から変更されます。
1. ルートアカウントでログインする
2. 右上のユーザー名をクリックする
3. My Account(マイアカウント)をクリックする
4. Payment Currency Preference(お支払い通貨の設定)の右にあるEdit(編集)をクリックする
5. JPY - Japanese Yen を選択して、Update(更新)ボタンをクリックする

6. FAQ（随時追加）

いいえ。アクセスキーはIAMユーザーの画面で作りましたように、ユーザーごとに発行するものです。

ルートユーザーでログイン後、ユーザー名をクリックすると12桁のアカウントIDを確認できます。

• 他の案件で使っているリソースをZoomで画面共有したくない場合は、ルビコン塾学習用のAWSアカウントを別に作ることをオススメします。その際プロファイル (profile) を使うと、awsコマンドで利用するIAMユーザーやAWSアカウントに簡単に切り替えることができます。
• ただしプロファイルを使う場合は、教材でawsコマンドを使う際に毎回同じプロファイルを指定してください。もしプロファイルの指定を忘れそうな場合は、デフォルトのプロファイルとして設定すると指定を忘れても問題ありません。
• 事故になるかどうかはケースバイケースですね。例えば「現場で開発環境のAWSアカウントを操作していると思っていたら、実は本番環境のAWSアカウントを操作していて、間違って何かのリソースを削除してしまった」というようなケースです。プライベートのPCからは学習用のAWSアカウントにしか繋がらない場合は、特に気にする必要もないと思います。最悪リソースを削除してしまったら、作り直せばいいだけなので。

• Administrators ユーザーグループなど既存のユーザー名・ユーザーグループ名と重複する場合 → CFnでの作成がエラーになりますので、既存を削除して頂くか、重複しないようテンプレートのユーザー名・ユーザーグループ名を一括置換してから作成してください。
• 既存のユーザーやユーザーグループをそのまま使われたい場合 → CFnで作ったユーザーやユーザーグループは勉強後にCFnのスタックごと削除して頂いてかまいません。
• 既存のユーザーやユーザーグループは使わず、CFnで作ったユーザーやユーザーグループに置き換える場合 → 既存のユーザーやユーザーグループを削除したり、削除しない場合はユーザーのアクセスキーを無効や削除するようお願いします。アクセスキーを使っている箇所は移行をお願いします

homebrew/coreがGitHubのリポジトリに接続できていない可能性があります。その場合は次のコマンド2行を実行してhomebrew/coreを再インストールしてみてください。

rm -rf $(brew --repo homebrew/core)

brew tap homebrew/core

設定の基本 - AWS Command Line Interface にAWS CLI認証情報の優先順位が書かれています。

1. コマンドラインオプション --profile など
2. 環境変数 export AWS_ACCESS_KEY_ID=****など
3. CLI認証情報ファイル ~/.aws/credentialsやC:\Users\USERNAME\.aws\credentials
4. CLI設定ファイル ~/.aws/configやC:\Users\USERNAME\.aws\config

aws configureでアクセスキーを設定すると3.のcredentialsファイルに保存されますが、2.の環境変数が優先されているのかもしれません。

Macの場合は.zshrcや.bash_profileを確認して、もし書いてある場合は削除してください。

職務機能の AWS 管理ポリシー - AWS Identity and Access Management に参考例はありますが、この中で良く使うのは

管理者の職務機能 AWS 管理ポリシー名: AdministratorAccess

読み取り専用アクセス AWS 管理ポリシー名: ReadOnlyAccess

くらいで、それ以外は要件をヒアリングしながらカスタマイズして作ったり、既存のAWS管理ポリシーで良さげなものを使ったり、完全にケースバイケースです。

IAMUserChangePasswordは手で作った場合に勝手に追加されるようです。CFnでは指定していないので、追加されることはありませんが。

ちなみに手で作る目的としては、CFnと全く同じものを作ることを目指すのではなく、

• Q. どういうリソースを作るのか？（今回で言えばIAMユーザー）
• Q. そのリソースは何のために作るのか？
• Q. そのリソースの設定値には何があるか？
• Q. それらの設定値の意味や目的は？

などを調べて予習することが目的です。

• Q. CFnで作った場合と手で作った場合に何が違ったか？

も多少は勉強になりますが、その点はあまり気にされなくて大丈夫です。リソースの種類によっては全く同じ設定で複数個、重複して作ることができないものもありますし。もちろん違う点については、ZoomやSlackで質問いただければお答えしますので、ご安心ください。

2021年夏頃にしれっと画面（マネジメントコンソール）上の表記がIAM GroupからIAM User Groupに変わりました。特にアナウンスもありませんでした。

こんな感じで画面の表記は本当によく変わりますが、CFnのテンプレートは変わりません。恐らくAWSの内部の管理上も変えていないからだと思います。

テンプレートが変わらず互換性が保たれるのはCFnのメリットと言えばメリットですが、画面とテンプレートの差異が生まれるという意味ではデメリットでもあります。

ちなみにテンプレートの方も変わる可能性があるのは、リソースのバージョンが変わった時ですね。

例えばELBにはv1（とは表記しませんが、今で言うところのCLB＝Classic Load Balancer）と、新しいv2（ALB・NLB・GWLB）があります。他にWAFにもv1（とは表記しませんが、昔のWAF）と、新しいv2（WAFv2）があります。 これらは当然v1とv2で書き方が異なります。違うTypeのリソースという扱いなので当然ですね。

ただv1とv2があるのは珍しい方で、たいてい既存のものを機能拡張していくことの方が多いです。

以上、お疲れさまでした！