AWSに最初にアカウントを作るとルートユーザーというものが作られます。
これは、自分のメールアドレスとパスワードを使ってログインするものです。
これを使うとAWSコンソールを使うことができますが、クレジットカードの決済の情報や、毎月の請求額などが見れてしまいます。
また、ルートアカウントを他の人に共有してしまうと、何か情報漏洩などがあった場合に誰が作業したかわからないためセキュリティ面でも避けた方が良いです。
各メンバーごとにIAMユーザーを作って、他の人に共有した方が良いです。
そのための手順を共有します。
- パスワードポリシーの設定
- IAMグループの作成
- IAMユーザーの作成
- 二段階認証を有効にする
パスワードポリシーの設定
まずはルートユーザーでログインし、メニューのサービスからIAMを選択し、アカウント設定を選びます。
そこで、パスワードポリシーを下記のように設定します。
クレジットカード業界のセキュリティポリシーであるPCI DSSでも下記のようなパスワードポリシーを設定することが求められており、上記のポリシーであれば安全にコンソールを使うことがきます。
- パスワードの最小文字数7文字
- 数字と英文字の両方を含む
- 90日ごとにパスワードを変更する
- 直近4回使用したパスワードを再利用しない
IAMグループの作成
同じIAMのメニューからグループを選択し、新しいグループの作成をクリックします 
わかりやすいグループ名を入力し、次のステップボタンをクリックします
グループに設定するポリシーを選びます。
ここでは、AdministratorAccessポリシーを選択しています。このポリシーは課金情報やクレジットカード情報の参照はできませんが、それ以外のAWS上の権限があるポリシーですので、課金情報は見せたくないが、AWSのシステム構築をすべて任せたい場合には適していると思います。
グループの作成ボタンを押すと、グループが作成されます。
IAMユーザーの作成
最後にIAMユーザーを作成します。IAMのメニューからユーザーを選び、ユーザーを追加をクリックします。
ユーザー名を入力し、AWSマネージメントコンソールへのアクセスにチェックを入れます。
ユーザーをグループに追加を選び、作成したIAMグループを選びます
そのまま次に進んでいき、サインイン用のURLとユーザー名、パスワードが表示されます。この3つの情報をAWSアカウントを使ってもらいたい人に伝えます
二段階認証の有効化(オプション)
オプションとして二段階認証を有効にすることでさらにログイン情報を安全にすることができます。PCI DSSにおいても多要素認証を利用したログインを有効にすることが求められております。IAMのメニューのユーザーから該当のユーザーを選択し、MFAデバイスの割り当ての管理をクリックします。
仮想MFAデバイスを選択し、続行をクリックします。
AndroidやiPhoneでGoogle認証システムというアプリをgoogle playやapp storeでインストールします。
アプリを開き、+ボタンを押し、バーコードをスキャンを選択し、画面に表示されるバーコードを読み取ります。そして画面に表示される6桁の数字をMFAコード1に入力し、しばらく経つとコードが変わるので、変わった数字をMFAコード2に入力し、MFAの割り当てをクリックします。
下記のような画面が表示されたらMFAの設定は完了になります。
以上で手順は終了になります。
