モジュール 2: AWS アカウントを保護する

1.AWS マネジメントコンソールにサインインします。

2.[Root user] (ルートユーザー) を選択し、アカウントを作成したときに指定したメールアドレスを入力して、[Next] (次へ) を選択します。

3.セキュリティチェックを完了するように求められる場合があります。表示されたスペースに画像内の文字を入力し、[Submit] (送信) を選択します。次のステップに進むには、このチェックを完了する必要があります。

ヒント: 入力する一連の数字と文字を聞くには、音声ボタンを選択します。元の画像の文字がわからない場合は、更新ボタン を選択して画像を変更します。

4.サインインページで、パスワードを入力し、[Sign in] (サインイン) を選択します。

おめでとうございます。これで、ルートユーザーとして AWS マネジメントコンソールにサインインしました。しかし、日常的なタスクにルートユーザーを使用することは推奨されません。ルートユーザーは、特定のアカウント管理タスクにのみ利用すべきです。そのようなタスクのうちの 2 つを、このチュートリアルの次のセクションで実行します。 

• ルートユーザーのために MFA を有効にする
• IAM アイデンティティセンターで管理ユーザーを作成する

ルートユーザーとしてサインインする必要があるタスクの一覧については、「ルートユーザー認証情報が必要なタスク」を参照してください。

1.ルートユーザー認証情報を使用して、新しく作成した AWS アカウントにサインインします。

3.[Security recommendations] (セキュリティに関するレコメンデーション) に、[Add MFA for root user] (ルートユーザーの MFA を追加) に関する通知があります。
4.[Add MFA] (MFA を追加) を選択します。 

[Set up device] (デバイスを設定) ページが開きます。このページを完了するには 3 つのステップがあります。

9.モバイルデバイスで認証アプリケーションを設定します。いくつかの異なる認証アプリケーションが Android デバイスと iOS デバイスの両方でサポートされています。サポートされているアプリケーションのリストとダウンロードできるロケーションへのリンクについては、「IAM の多要素認証 (MFA)」ページの「仮想認証アプリケーション」セクションを参照してください。

10.モバイルデバイスで認証アプリケーションを開きます。

11.[Show QR code] (QR コードを表示) リンクを選択して、アカウント用の一意の QR コードを表示します。QR コードをスキャンできない場合は、[Show secret key] (シークレットキーを表示) リンクを選択してテキストキーを表示し、認証アプリケーションに入力してアカウントを識別できます。

12.認証アプリケーションで QR コードをスキャンするか、または認証アプリケーションにコードを入力して、認証デバイスをアカウントにリンクします。

13.認証アプリケーションがアカウントへのリンクを確立すると、限られた秒数にわたって有効なシークレットコードの生成を開始します。[MFA code 1] (MFA コード 1) で、アプリケーションに表示されるコードを入力します。そのコードが次のコードに変更されるまで待ってから、そのコードを [MFA code 2] (MFA コード 2) に入力し、2 番目のコードの有効期限が切れる前に [Add MFA] (MFA を追加) を選択します。

[My security credentials (root user)] (セキュリティ認証情報 (ルートユーザー)) ページに戻ります。MFA デバイスが割り当てられたことを示す通知メッセージが上部に表示されます。

ルートユーザーの認証情報がより安全になりました。 

14.コンソールからサインアウトします。次にルートユーザーの認証情報を使用してサインインするときは、MFA デバイスからの認証情報と、メールアドレスとパスワードを入力します。

1.ルートユーザー認証情報を使用して、AWS アカウントにサインインします。

ID ソースは、ユーザーとグループが管理される場所です。ID ソースを設定した後、ユーザーまたはグループを検索して、AWS アカウント、クラウドアプリケーション、またはその両方へのシングルサインオンアクセスを付与できます。

1 つの組織で持つことができる ID ソースは 1 つだけです。次のいずれかを使用できます。

• アイデンティティセンターディレクトリ - IAM アイデンティティセンターを初めて有効にすると、ユーザーとグループを管理するデフォルトの ID ソースとしてアイデンティティセンターディレクトリが自動的に設定されます。
• Active Directory - ユーザーとグループは、AWS Directory Service を利用した AWS Managed Microsoft AD ディレクトリ、または Active Directory (AD) のセルフマネージドディレクトリのいずれかで管理されます。
• 外部 ID プロバイダー - ユーザーとグループは、Okta や Azure Active Directory などの外部 ID プロバイダー (IdP) で管理されます。

このチュートリアルでは、アイデンティティセンターディレクトリを使用します。

1.IAM アイデンティティセンターコンソールに移動し、[Users] (ユーザー) を選択します。その後、[Add user] (ユーザーを追加) を選択します。

• [Username] (ユーザー名) – ユーザー名は AWS アクセスポータルへのサインインに使用され、後で変更することはできません。覚えやすい名前を選びます。このチュートリアルでは、John というユーザーを追加します。
• [Password] (パスワード) - [Send an email to this user with password setup instructions (Recommended)] (パスワード設定手順を記載したメールをこのユーザーに送信 (推奨)) を選択します。 このオプションでは、Amazon Web Services から「Invitation to join IAM Identity Center (successor to AWS Single Sign-On)」(IAM アイデンティティセンター (AWS Single Sign-On の後継) への参加の招待) という件名の E メールがユーザーに送信されます。E メールは no-reply@signin.aws または no-reply@login.awsapps.com から送信されます。これらのメールアドレスを承認済み送信者リストに追加して、迷惑メールやスパムとして扱われないようにしてください。

3.[Primary information] (主な情報) セクションで、必須のユーザー詳細情報を入力します。  

• [Email address] (メールアドレス) - E メールを受信できるユーザーのメールアドレスを入力します。その後、確認のためにもう一度入力します。各ユーザーは一意のメールアドレスを持っている必要があります。
  

ヒント: テスト中、E メールのサブアドレス指定を利用して、複数の架空のユーザーのために有効なメールアドレスを作成できる場合があります。E メールプロバイダーがサポートしている場合は、現在のメールアドレスにプラス記号 (+) と数字または文字を付加して、someone@example.com、someone+1@example.com、someone+test@example.com などの新しいメールアドレスを作成できます。これらのいずれのメールアドレスに送信しても、同じメールアドレスで E メールが受信されることになります。 

• [First name] (名) – ユーザーの名を入力します。
• [Last name] (姓) – ユーザーの姓を入力します。
• [Display name] (表示名) - ここには、ユーザーの姓名が自動的に入力されます。表示名を変更したい場合は、別の名前を入力できます。表示名は、サインインポータルとユーザーリストで表示されます。 
• 必要に応じてオプション情報を入力します。このチュートリアルでは使用しません。後で追加できます。

4.[Next] (次へ) を選択します。

ユーザーグループでは、複数のユーザーに許可を指定できるため、それらのユーザーの許可を管理しやすくなります。

1.[Create group] (グループを作成) を選択します。

2.新しいブラウザタブが開き、[Create group] (グループを作成) ページが表示されます。

3.[Group details] (グループの詳細) の [Group name] (グループ名) に Admins (管理者) と入力します。

4.[Create group] (グループを作成) を選択します。

新しいユーザーは存在しますが、リソース、サービス、またはアプリケーションへのアクセスが付与されていないため、そのユーザーはまだルートユーザーに代わって日常的な管理タスクを実行することができません。新しいユーザーに AWS アカウントへのアクセスを付与しましょう。ユーザーをグループに追加したので、そのグループをアカウントに割り当てて、グループのメンバーがアクセスできるものを定義する許可セットを追加します。

この手順では引き続きルートユーザーの認証情報を使用します。

ルートユーザー認証情報を使用して AWS アカウントにサインインします。

[AWS accounts] (AWS アカウント) ページの [Organizational structure] (組織構造) に、階層内でルートが表示され、その下にテストアカウントが表示されます。テストアカウントのチェックボックスをオンにし、[Assign users or groups] (ユーザーまたはグループを割り当てる) を選択します。

ユーザーとグループを割り当てるワークフローが表示されます。これは次のステップで構成されます。 

[Step 1: Select users and groups] (ステップ1: ユーザーとグループを選択する) では、このチュートリアルで先ほど作成した [Admins] (管理者) グループを選択します。次に、[Next] (次へ) を選択します。

[Step 2: Select permission sets] (ステップ2: 許可セットを選択する) で、[Create permission set] (許可セットを作成) を選択して新しいタブを開きます。このタブでは、許可セットの作成に必要な 3 つのサブステップに関するガイダンスが順に提供されます。

新しいブラウザタブが開き、[Step 1: Select permission set type] (ステップ1: 許可セットタイプを選択する) が表示されます。次のように選択します。

1. [Permissions set type] (許可セットタイプ) で、[Predefined permission set] (事前定義された許可セット) を選択します。
2. [Policy for predefined permission set] (事前定義された許可セットのポリシー) で、[AdministratorAccess] を選択します。
3. その後、[Next] (次へ) を選択して続行します。

[Step 2: Specify permission set details] (ステップ 2: 許可セットの詳細を指定する) で、デフォルト設定のままにして、[Next] (次へ) を選択します。 デフォルト設定では、AdministratorAccess という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。 

[Step 3: Review and create] (ステップ3: 確認および作成する) で、[Permission set type] (許可セットタイプ) が AWS マネージドポリシー AdministratorAccess を利用していることを確認します。[Create] (作成) を選択します。

[Permission sets] (許可セット) ページに戻ります。許可セットが正常に作成されたことを知らせる通知がページの上部に表示されます。[X] を選択してタブを閉じます。

[Assign users and groups] (ユーザーとグループを割り当てる) のブラウザタブにおいて、[Step 2: Select permission sets] (ステップ 2: 許可セットを選択する) の [Permission sets] (許可セット) セクションで [Refresh] (更新) を選択します。作成した AdministratorAccess 許可セットがリストに表示されます。その許可セットのチェックボックスを選択し、[Next] (次へ) を選択します。 

[Step 3: Review and submit] (ステップ 3: 確認および送信する) で、選択したユーザーとグループおよび許可セットを確認し、[Submit] (送信) を選択します。

ページが更新され、AWS アカウントが設定されていることを示すメッセージが表示されます。プロセスが完了するまで待ちます。

IAM アイデンティティセンターの AWS アカウントページに戻ります。通知メッセージは、AWS アカウントが再プロビジョニングされ、更新された許可セットが適用されたことを知らせます。 

[Organization structure] (組織構造) セクションで、AWS アカウントが AWS 組織のルートの下の管理アカウントになったことがわかります。このチュートリアルでは、プレースホルダーとして AWS アカウント名 Test-acct を使用しています。実際には、お客様の AWS アカウントの名前が表示されます。 

お疲れさまでした。ユーザーは AWS アクセスポータルにサインインし、AWS アカウントのリソースにアクセスできるようになりました。 

これで、新しい管理ユーザーを使用してサインインする準備ができました。以前にサインインしようとした場合、そのユーザーには他の許可が付与されていないため、パスワードを設定してユーザーに多要素認証 (MFA) を有効にすることしかできませんでした。これで、ユーザーには AWS リソースに対するすべての許可が付与されますが、パスワードを設定して MFA を設定する必要があるので、その手順を見ていきましょう。

新しいユーザーの E メールが、ユーザーを作成した際に指定したメールアドレス宛てに送信されました。この E メールには 3 つの重要な項目が含まれています。

1. 参加への招待を承諾するためのリンク
2. AWS アクセスポータルの URL
3. サインインに使用するユーザー名

E メールを開いて、AWS アクセスポータルの URL とユーザー名を後で使用できるように記録します。その後、[Accept invitation] (招待を承諾) リンクを選択します。 

ヒント: 受信トレイフォルダで IAM アイデンティティセンターへの招待メールが見つからない場合は、スパムメール、迷惑メール、削除済みアイテム (またはゴミ箱) フォルダを確認してください。IAM アイデンティティセンターサービスによって送信されるすべての E メールは、no-reply@signin.aws または no-reply@login.awsapps.com のいずれかのアドレスから送信されます。E メールが見つからない場合は、ルートユーザーとしてサインインし、アイデンティティセンターのユーザーのパスワードをリセットします。手順については、「Reset an IAM Identity Center user password」を参照してください。それでも E メールが届かない場合は、パスワードを再度リセットし、代わりにユーザーと共有できる [Generate a one-time password] (ワンタイムパスワードを生成) オプションを選択します。

リンクをクリックするとブラウザウィンドウが開き、[New user sign up] (新規ユーザーのサインアップ) ページが表示されます。

[New user sign up] (新規ユーザーのサインアップ) ページで、新しいパスワードを指定します。

パスワードは次のとおりである必要があります。

• 8～64 文字の長さ
• 大文字と小文字、数字、および英数字以外の符号で構成されている。

パスワードを確認したら、[Set new password](新しいパスワードを設定) を選択します。

ユーザーがプロビジョニングされる間、少し遅延が発生します。 

AWS コンソールが開きます。

上部のバーの [User name] (ユーザー名) の横にある [MFA devices] (MFA デバイス) を選択して MFA を設定します。

[Multi-factor authentication (MFA) devices] (多要素認証 (MFA) デバイス) ページが開きます。[Register device] (デバイスを登録) を選択します。

[Register MFA device] (MFA デバイスを登録) ページで、アカウントで使用する [MFA device] (MFA デバイス) を選択します。ブラウザやプラットフォームでサポートされていないオプションはグレー表示され、選択できません。

認証アプリケーションオプションの画面を順に見ていきます。これは、チュートリアルの最初の部分でルートユーザーのために MFA デバイスを設定したときに実行したプロセスに似ています。この MFA デバイスが IAM ではなく IAM アイデンティティセンターで登録される点が異なります。別の MFA デバイスを選択した場合は、選択したデバイスの手順に従ってください。 

[Show QR code] (QR コードを表示) リンクを選択して、AWS 組織の一意の QR コードを表示します。QR コードをスキャンできない場合は、[Show secret key] (シークレットキーを表示) リンクを選択してテキストキーを表示し、認証アプリケーションに入力して組織を識別できます。認証アプリケーションで QR コードをスキャンするか、または認証アプリケーションにコードを入力して、認証デバイスを組織にリンクします。 

認証アプリケーションが組織へのリンクを確立すると、限られた秒数にわたって有効なシークレットコードの生成を開始します。[Authenticator code] (認証コード) にアプリケーションに表示されるコードを入力し、[Assign MFA] (MFA を割り当てる) を選択します。 

注: MFA デバイスを IAM アイデンティティセンターに登録する場合、登録に必要な認証コードは 1 つだけです。

デバイスが正常に登録されました。[Done] (完了) を選択してください。 

アクセスポータルから、管理する AWS アカウントを選択します。アカウントに設定されている許可と 2 つの接続オプションが表示されます。

• マネジメントコンソールを選択して AWS マネジメントコンソールを開き、サービスコンソールのダッシュボードを使用して AWS リソースを管理します。
• [Command line or programmatic access] (コマンドラインまたはプログラムからのアクセス) を選択し、プログラムによりまたは AWS CLI から AWS リソースにアクセスするための認証情報を取得します。これらの認証情報の取得の詳細については、「Getting IAM Identity Center user credentials for the AWS CLI or AWS SDKs」を参照してください。 
  

このチュートリアルでは、[Management console] (マネジメントコンソール) を選択します。

AWS マネジメントコンソールが開きます。管理アクセスを持つユーザーは、サービスの追加、ユーザーのさらなる追加、ポリシーと許可の設定を行うことができます。これらのタスクを実行するためにルートユーザーを使用しなくてもよくなりました。