[初心者向け] IAMユーザーにアクセスキーを払い出す手順を確認してみた

たぬき( @tanuki_tzp )です。

久々にIAMユーザーを作成したら、オプションでアクセスキーを作成できないようになっていました。
気付かないうちにちょっとセキュアな感じになっていて、趣を感じました。

そういったわけで、IAMユーザーのアクセスキーをコンソールから払い出すための手順を確認してみました。

有効化の仕方

1 AWS IAMユーザーを作成する

ユーザー | IAM | Global

今回は、検証用なのでIAMユーザーに対する権限は付与しないで作成します。

この状態では暗黙的な拒否が適応されるため、アクセスキーを使用しても、どのサービスにもアクセスできません。
IAMの評価論理について、詳しくは下記セッションをご参考ください。

実際のユーザーには 必要最低限 の権限を付与してくださいね。

2 作成したIAMユーザーにアクセスキーを作成する

作成したIAMユーザーをクリックし、ユーザーの概要を開きます。

「セキュリティ認証情報」のタブから、「アクセスキーを作成」を押します。

アクセスキーを作成する前に、ユースケースの確認があります。
今回は、AWS CLIをローカル環境から叩きたいので、CLIを選びました。

ユースケースを選ぶと、アクセスキーを作成しない代替案が表示されます。
代替案を確認し、それでもアクセスキーが必要な場合は確認にチェックをして「次へ」を押してください。

説明タグはオプションなので、設定しなくてもアクセスキーを発行できますが、アクセスキーの棚卸しを楽にするためにつけておくことを推奨します。

最後に、作成するアクセスキーとシークレットアクセスキーが表示されます。
csvファイルをダウンロードできるのはこの画面でのみなので、必要であれば必ずダウンロードしてください。
また、アクセスキーのベストプラクティスも必ず読んでおくようにしてください。

確認が完了したら「完了」を押します。

無効化と削除(おまけ)

使う予定のないアクセスキーは放置しておくと大変危険です。
不要になった時点で削除しましょう。

アクセスキーを削除するためには、無効化した後に削除を実行する必要があります。 まず、アクセスキーのアクションから無効化を実行します。

しばらく使用していないアクセスキーの無効化は、ユーザーの概要からも実施できます。

無効化が完了したら、アクションから削除を実行します。

削除したいアクセスキーを入力すれば削除完了です。

最後に

アクセスキーの作成手順をご紹介しましたが、アクセスキー漏洩によるセキュリティインシデントは今でも後を絶たない状態です。
いつかアクセスキーが完全に不要になった世界が見てみたいです。

アクセスキーの取り扱いはご安全に！