POSTED BY
2023-10-22

AWSにおいて複数人で共同開発を行う場合、まず代表者がルートユーザーとしてアカウント契約、支払い情報登録をしたのち、共同作業者のアカウント＝サブユーザーを作成して案内する流れになる。

共同作業者のアカウント＝サブユーザー＝はIAMユーザーと呼ばれ、IAMダッシュボードで管理する。ルートユーザーはここから、

https://console.aws.amazon.com/iam/home?region=ap-northeast-1#/home

まずはユーザーを入れるグループを作成する。「グループ(0)」→「新しいグループの作成」→グループ名を半角で入力。例：iam-hogegroup1

「アクセス許可」はあとで決めるとして、一旦作成してダッシュボードへ戻る。続けてIAMユーザーを作成。

「ユーザー(0)」→「ユーザーを追加」で新規ユーザーを作成。ユーザー名を半角で入力。例：iam-hogeuser1

AWSアクセスの種類を選択：このユーザーにどうAWSを使わせるか。
外部からAWS APIを呼ぶだけなら「プログラムによるアクセス」を選択。アクセスキーとシークレットキーが生成される。
AWSの管理コンソールを使用した仮想マシンを操作するなら「AWSマネジメントコンソールへのアクセス」を選択。パスワードが生成される。

グループ選択でさきほどのiam-hogegroup1を選択し、所属させる。

「アクセス権限」の細かいのは後で決めるとして、まず初回ログイン時にパスワードを自分で変更してもらうためデフォルトの「IAMUserChangePassword」のみセットしておき「作成」完了する。

ユーザーの数値ID、ユーザー名、アクセスキーやパスワードが自動生成され、このユーザーのコンソールログイン画面へのURLが発行されるので、このユーザーに対し、URLと初期パスワードを教えて、初回アクセスしてもらう。

ユーザーがそのURLに初回アクセスすると数値IDは埋められた状態であるので、あとはユーザー名と初期パスワードを入れてログイン、さらに新しいパスワードに変更してログイン完了。

アクセス権限の付与

デフォルトでは何も権限が無いので付与する。アクセス権はグループ単位、ユーザー単位どちらでも同じ操作で付与できる。ここではユーザー単位iam-hogeuser1に付与してみる。

ダッシュボード→アクセス管理→ユーザー→ユーザー名 iam-hogeuser1を選択。

「アクセス権限」タブ→「アクセス権限の追加」→「既存のポリシーを直接アタッチ」

すると600件弱ある膨大なアクセス権限(ポリシー)の一覧が表示されるので、ここからこのユーザーの用途に応じていくつか選択して確認、付与完了となる。

なお今回の例では仮想マシンの作成から何からほぼ全部できてしまうAdministratorAccessをiam-hogeuser1に与えた。
これはAWSの契約者・支払者＝ルートユーザー＝はプロジェクトマネージャで、AdministratorAccess権限を持つIAMユーザー＝iam-hogeuser1＝はチーフプログラマ(実際に作業する)という非常によく見る構成となる。