AWS IAM -ユーザ作成-

AWSをプログラムから利用する場合、アプリケーションごとにIAMユーザを作成、ユーザをグループに追加、グループにポリシーをアタッチするのが好ましいとされます。

何でもかんでもrootでアクセスすることはセキュリティ的に問題ありです。

ここではアプリケーション開発の始めに行う、IAMユーザの作成からaws-cliへのprofileの追加をまとめます。

 

IAMユーザを作成する

これはコンソールでやった方が楽です。

 

AWSのコンソールを開き、サービスからIAMを検索します。

 

IAMのユーザから「ユーザを追加」を選択します。

 

適当なユーザ名で作成します。ここではrekognitionとしましょう。

アクセスの種類は「プログラムによるアクセス」だけを許可しましょう。

こうすることでこのユーザはウェブブラウザからコンソールを開く権限を持ちません。

 

次にグループにユーザを追加します。

 

グループを作っていなかったら「グループ作成」から新しく作りましょう。

管理者アクセス権限を持つグループ(AdministratorAccess)を作成します。

 

ちなみに、ElasticBeanstalkのように他のサービスの利用を前提としているものはそれらのサービスのフルアクセスも自動で付与されます。

 

順当に進めていくとユーザが作成でき、アクセスキーIDとシークレットアクセスキーが取得できます。

後で使うのでメモしておきましょう。

 

AWS-CLIをインストールする

boto3などのSDKを使ってAWSを使うならAWS-CLIをインストールしておきましょう。


pip install awscli --upgrade --user

これで~/.local/binにaws-cliがインストールされます。

 

バージョンチェック。


$ aws --version
 aws-cli/1.12.1 Python/3.4.1 Darwin/16.7.0 botocore/1.8.1

 

PATHが通ってなければ適宜通します。

エラーなどは公式を参考に。

 

設定を保存します。

profileオプションに適当な名前をつけましょう(オプションをつけないとdefaultを上書きしてしまいます)。

先ほど取得したアクセスIDとシークレットアクセスキーを入力します。

続いてリージョン、フォーマットを選択します。


$ aws configure --profile YOUR_PROFILE_NAME
 AWS Access Key ID [None]: YOUR_ACCESS_KEY_ID
 AWS Secret Access Key [None]: YOUR_SECRET_ACCESS_KEY
 Default region name [None]: YOUR_REGION
 Default output format [None]: json

 

コメントを残す