【PART2 ルートユーザー】ぜんぜんわからなかったIAMについてまとめてみました

こんにちはこぐまです。
PART1 認証と認可では以下を説明しました。

「認証」とは、誰であるか？を判断すること
「認可」とは、何を許すか？を判断し、与えること

そしてAWSのIAMはこの「認証」と「認可」を管理するサービスであるということをお伝えしました。

IAMの要素について、話を掘り下げていきたいところなのですが、その前にもう一つだけ理解しておくべき要素があります。
それは、「AWSアカウント」「ルートユーザー」です。

AWSアカウントとは？

AWSをはじめて利用するとき、最初に作成するのが「AWSアカウント」です。AWSアカウントは12桁の一意の番号（123456789012とか）とアカウント名（aws-kogumaとか）で識別されます。
番号はアカウント作成時にAWSから割り当てられ、アカウント名はアカウント作成時に決められます。（後で変更もできます）
AWSアカウント作成に必要なのは、「メールアドレス＋パスワード」と支払い情報、連絡先情報等です。作成について詳しくはこちらを！

AWS アカウント作成の流れ【AWS 公式】

ルートユーザーとは？

AWSアカウントの作成が終わると、実際にAWSを利用できます。
AWSを利用するには、まず最初に「AWSマネジメントコンソール」にログインすることから始めます。その時に必要なのが、アカウント作成時に入力した「メールアドレス＋パスワード」なのです。
AWSはこの情報を「認証」し、正当であると認めた場合、その人に「ルートユーザー」として「AWSマネジメントコンソール」に入ることを「認可」します。
同時に、AWSマネジメントコンソールで実行できるすべての作業も「認可」します。とても強力なユーザーであることが理解いただけるかと思います。

ここまでの説明の通り、「ルートユーザー」とは「AWSアカウントに直接紐付いたユーザー」ということになります。
なお、一つの「AWSアカウント」に存在できる「ルートユーザー」は一つだけです。

とても危険で不便では？

AWSアカウントごとに、AWSマネジメントコンソールに入るためのユーザーが「ルートユーザー」しかなくて、しかもルートユーザーは全権限を持っているなんて、とても危険で不便ではないですか・・？
その通りです。とても危険で不便です。
しかも「ルートユーザー」としてログインして通常作業を行うことは、AWSとしても推奨していません。
「ルートユーザー」しかないのに、「それを使うな！」って「ちょっと何言ってるかよくわかりません」ってなりますよね。

・・・もしかして

「ルートユーザー」以外にもマネジメントコンソールにログインするほかの方法があるのか・・？

はいあるんです。
そこで登場するのが「IAMユーザー」です。

IAMユーザーとルートユーザーの違いは・・？

IAMユーザーとは、マネジメントコンソールにログインできる、「ルートユーザーの代わり」です。（※1）
一つしか作れない「ルートユーザー」と違って、たくさん作ることができます。そしてそれぞれのIAMユーザーごとに、決まった範囲の「認可」を与えることができます。（※2）
だから、ルートユーザーとほぼ同じ権限を持ったIAMユーザーを「管理者用」として、管理部長に付与したり、
EC2の一覧しか参照できないような権限を持ったIAMユーザーを「サーバ閲覧用」として一般社員に付与したりできます。

(※1）
ここでは、マネジメントコンソールにログインするためにIAMユーザーがあると記載していますが、実際のIAMユーザー作成時には、「AWS CLI」によるコマンド実行するための認証情報や「CodeCommit」への認証情報などもあわせて作成することもできます。マネジメントコンソールにログインするため「だけ」にIAMユーザーが存在しているわけではありません。

(※2）
この決まった範囲の「認可」を与えるのが、「IAMポリシー」です。
具体的には、作成したIAMユーザーに（いろんな名前のついた）IAMポリシーを（いろんな方法で）アタッチするとポリシーで定義された「認可」をもらえることになります。これについてはまた後程・・。

IAMユーザーって誰が作るの？

最初の1つ目のIAMユーザーだけは、「ルートユーザー」で作成する必要があります。
2つ目以降のIAMユーザーは、「ルートユーザー」で作ることもできますが、「IAMユーザーを作成する権限を持ったIAMユーザー」から作成することができます。後述する通り、こちらのほうが良いです。

IAMユーザとルートユーザの使い分けは？

それぞれ適切な権限を持たせたIAMユーザーがあることで、ほとんどすべての通常作業時において「ルートユーザー」でのログインが不要となります。
AWSとしても、「ルートユーザー」でしかできない作業（アカウント閉鎖、ルートユーザーのパスワード変更など）の時のみ、ルートユーザーでログインしてください・・と言っています。
ですので、IAMユーザーを作成した後は、ほぼ（用途に応じた）IAMユーザーでログインします。最初のIAMユーザーを作成後、ルートユーザーでログインすることは実業務上でもほとんどありません。(※3）

(※3）
ルートユーザーはAWSアカウントに直接紐付いた何でもできるユーザーです。アカウントを閉鎖する権限もあります。ですので、くれぐれも慎重に取り扱う必要があります。ルートユーザー認証情報を公開しないことはもちろんですが、認証情報を取り扱うことができる範囲を限定したり、MFA認証を追加したり、自分たちで持たず信頼できる組織で管理して自分たちは最初からIAMユーザだけを利用する・・など、さまざまな対策があります。

IAMユーザーとルートユーザの違いについて説明してきました。
本日はここまで。
読んでくださってありがとうございました！