AWSアカウントを作ったときにとりあえず最初に作るIAMユーザやIAMロール

AWSアカウントを作ったときにとりあえず作るIAMユーザ、IAMロールの作り方を備忘録的に書く
Organizationとかは全く想定しておらず、個人でこじんまりと使うAWSアカウントが対象

IAMユーザを作る

• アクセス許可の設定、タグは必要に応じて
• ユーザ作成段階でアクセスキーにチェックを入れた場合はユーザ作成成功の画面でアクセスキーID、シークレットアクセスキーが表示されるので、メモっておく
• 初期パスワードが表示されるのでこれもメモる
• 作成されたIAMユーザでマネジメントコンソールにサインインできる
  • この段階ではほぼなんのポリシーも当ててないのでリソースを作れないし見れない

IAMロールを作る(Adminアクセス)

まず何でもできるIAMロールを作る

AdministratorAccess というマネージドポリシーをアタッチしたIAMロールを作る

IAMロールを作る(ReadOnlyアクセス)

ReadOnlyなロールを作る
ReadOnlyAccess というマネージドポリシーをアタッチしたIAMロールを作る

AssumeRoleするためのIAMポリシーを作ってIAMユーザにアタッチする

このままだと作成したIAMユーザはロールにスイッチできない。ポリシーを作ってIAMユーザにアタッチする
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html

まずポリシーを作る。こんな感じ

作ったポリシーをIAMユーザにアタッチする

IAMユーザでコンソールにログインしてスイッチロールを試す

これまででIAMユーザでコンソールにログイン、作ったIAMロールにスイッチできる

MFAデバイスの割り当て

IAM -> ユーザー -> 認証情報 -> MFAデバイスの割り当て -> 管理 からMFAデバイスを登録する

AssumeRoleのセッション時間をのばす

デフォルトではIAMロールの最大セッション時間は1時間になっている。12時間までのばせる
IAM -> ロール -> 作成したロールを選択 -> 編集 -> 最大セッション期間を編集 で編集