Frequently Asks -AWS IAM | AWS

By : ilikephone / On : 09/08/2022

Q: IAM ユーザーの管理はどのように行うのですか? IAM では、複数の方法で、次の各操作を実行できます。

You can create and manage users, groups, and policies using IAM API, AWS CLI, or IAM console.You can also use a visual editor and Iam Policy Simulator to create and test policy.

Q: グループとは何ですか? グループとは IAM ユーザーの集合です。グループメンバーシップを簡単なリストとして管理します:

Q: IAM ユーザーはどのような種類のセキュリティ認証情報を持つことができますか? IAM ユーザーは、AWS アクセスキー、X.You can freely combine the authentication information supported by AWS, such as 509 certificates, SSH key, web application password, MFA device, etc.This allows each user to interact with her AWS in a suitable way.For example, employees use both her AWS access keys and passwords, the software system calls a program using only her AWS access key, and the IAM user uses a private SSH key to make his AWS Codecommit repository.Access, the external contractor is her X.Access the EC2 command line interface using only the 509 certificate.For more information, see the temporary security authentication information in the IAM document.

Q: AWS のどのサービスが IAM ユーザーをサポートしていますか? IAM ユーザーをサポートする AWS のサービスの完全なリストについては、IAM ドキュメントの IAM と連携する AWS のサービスを参照してください。AWS は順次、他サービスに IAM サポートを追加する予定です。

Q: ユーザーアクセスを有効および無効にできますか? はい。IAM API、AWS CLI、または IAM コンソールを使用して、IAM ユーザーのアクセスキーを有効および無効にできます。アクセスキーを無効にすると、そのユーザーは AWS のサービスにプログラムでアクセスできなくなります。

Q: AWS アカウントのユーザーを管理できるのは誰ですか? AWS アカウント所有者がユーザー、グループ、セキュリティ認証情報、アクセス許可を管理することができます。また、他のユーザーを管理するために、個々のユーザーに IAM API への呼び出しができるアクセス許可を付与することができます。例えば、企業のユーザーを管理するための管理者ユーザーを作成できます。これは推奨される方法です。他のユーザーを管理するためのアクセス許可をユーザーに付与した場合、そのユーザーは IAM API、AWS CLI または IAM コンソールを使用してその管理を行うことができます。

LDAP のように、ユーザーの集合を階層的に構成できますか? はい。ユーザーおよびグループは、Amazon S3 のオブジェクトパスと同様に、パスを使って編成できます。例えば、/mycompany/division/project/joe などです。

Q: ユーザーをリージョンごとに定義できますか? 今はできません。AWS アカウントと同様、ユーザーは、グローバルエンティティです。ユーザーのアクセス許可を定義するとき、リージョンを指定する必要はありません。ユーザーはどの地理的リージョンでも AWS のサービスを使用できます。

よくある質問 - AWS IAM | AWS

IAM ユーザーの MFA デバイスは、どのように設定されていますか? AWS アカウントの所有者は、複数の MFA デバイスに命令を出すことができます。その後、IAM API、AWS CLI、または IAM コンソールを使用して、これらのデバイスを個々の IAM ユーザーに割り当てることができます。

Q: どのような種類のキーローテーションが IAM ユーザーに対してサポートされていますか? AWS アカウントのルートアクセス識別子と同様に、ユーザーのアクセスキーと X.509 Certificates can be rotated.User access keys and X using IAM API, AWS CLI, or IAM console.509 Certificates can be managed and rotated by program.

Q: IAM ユーザーは個々の EC2 SSH キーを持つことができますか? 初期リリースではできません。IAM は EC2 SSH キーや Windows の RDP 証明書には影響しません。つまり、各ユーザーが、ウェブサービス API へのアクセスに異なる認証情報を使用していても、自分が定義されている AWS アカウントに共通の SSH キーを共有する必要があることになります。

Q: どのような場合に自分の SSH キーを使用できますか?現時点で、IAM ユーザーが自分の SSH キーを使用できるのは、AWS CodeCommit で自分のリポジトリにアクセスする場合のみです。

Q: IAM ユーザーの名前は E メールアドレスでなければなりませんか? いいえ。しかし、E メールアドレスでもかまいません。ユーザー名は特定の AWS アカウント内で一意の ASCII 文字列です。E メールアドレスを含め、選択した任意の命名規則を使用して名前を割り当てることができます。

Q: IAM ユーザー名にはどの文字セットを使用できますか? IAM エンティティに使用できる文字は ASCII 文字のみです。

Q: ユーザー名以外のユーザー属性はサポートされていますか? 現時点では使用できません。

Q: ユーザーのパスワードはどのように設定されるのですか? IAM コンソール、AWS CLI、または IAM API を使用して、IAM ユーザーの初期パスワードを設定できます。初期プロビジョニング以降にユーザーのパスワードがクリアテキストで表示されることはなく、API 呼び出しを介して表示されたり返されたりすることもありません。IAM ユーザーが自身のパスワードを管理するには、IAM コンソールの「自分のパスワード」ページを使用します。ユーザーは AWS マネジメントコンソールの右上にあるドロップダウンウリストから [認証情報] オプションを選択することで、このページにアクセスできます。

Q: ユーザーのパスワードポリシーを管理者が定義することはできますか? はい。パスワードの最小長を定義したり、数字を 1 つ以上含めるようにするなど、強力なパスワードを要求できます。自動パスワード失効の実施、以前に使用したパスワードの再利用禁止、次回 AWS サインイン時のパスワードリセットの要求も設定できます。詳細については、IAM ユーザー用のアカウントパスワードポリシーの設定を参照してください。

Q: IAM ユーザーの使用量クォータを設定することはできますか? すべての制限は AWS に一括設定されます。例えば、AWS アカウントの Amazon EC2 インスタンスが 20 個に制限されている場合、EC2 権限を持つ IAM ユーザーはインスタンスを制限まで起動できます。個々のユーザーができることを制限することはできません。