Jump アカウント方式におけるIAMユーザー作成・権限変更・削除手順
こんにちは!コンサルティング3部のくろすけです!
AWSを導入いただく際に AWS Organizations (AWS IAM Identity Center による IAM ユーザー管理) を使用しない場合に、Jump アカウント方式をご検討いただくことがしばしばあります。
今回は Jump アカウント方式を導入した際の IAM ユーザー管理(ユーザー作成、権限変更、削除)について、汎用的な手順をまとめてみます。
前提
Jump アカウント方式
本記事では、Jump アカウント方式がどのようなものかについては詳しく取り上げません。詳しくは以下の記事をご覧ください。
アカウント構成

本記事では、上図のように利用者の IAM ユーザーを Jump アカウントへ集約する構成を前提とします。
利用者は IAM ユーザー名・パスワードに加えて MFA で Jump アカウントへサインインします。(今回の手順は MFA の強制設定がされている環境での手順となっています。)
Jump アカウントの IAM ユーザーには、対象アカウントの IAM ロールへ sts:AssumeRole する権限を IAM グループ経由で付与します。
ロールへのスイッチ時には AWS STS から一時的な認証情報が発行され、利用者はそのロールの権限で作業できます。
対象アカウントは、本番・ステージング・開発の 3 環境を想定します。各アカウントには「管理者」「開発者」「運用者」の IAM ロールを用意し、Jump アカウントの IAM グループごとに、スイッチを許可するロールと環境を制御します。
このため、利用者の追加・権限変更・削除は、原則として Jump アカウントの IAM ユーザーと IAM グループの管理だけで完結します。
構築済みのリソース

本記事では、上記のリソースは構築済みであるものとします。
今回扱うのは、ユーザーの新規入場、ロール変更、退場に関連する(IAM ユーザー作成・権限変更・削除、MFA デバイスの登録、IAM グループへのアタッチなどの)操作です。
IAM ユーザー管理者
本記事のような作業を実際に行う担当者を指します。
IAM ユーザーの作成権限を持っていることが前提です。
手順
1. IAM ユーザーの作成
IAM ユーザー管理者の手順
-
IAM 管理画面にて、
ユーザーの作成を選択

-
下記を設定
・ユーザー名:必須です。
・マネジメントコンソールへのアクセス:ユーザーがMFAを設定するため必須です。
・次回のサインイン時に新しいパスワードの作成:ユーザーのみがパスワードを把握できるようにするため、必ずチェックしてください。

-
ユーザーが所属する IAM グループを選択
設計次第では、複数のグループを選択する場合もあります。

-
設定内容を確認し、
ユーザーの作成を選択

-
パスワードを取得
・初期パスワードはこのタイミングでのみ取得可能なため必ず取得すること。
・もし、初期パスワードの取得を忘れた場合には、ユーザーを再作成するか、パスワードをリセットする必要があります。
・パスワードの漏洩には十分注意してください。
・ユーザーに配布するため、csv をダウンロードし、セキュアな方法でそのまま配布いただくのがスムーズです。

-
ユーザーに配布
所属の組織で定められた規定の手段などを使用してユーザーに配布してください。
IAMユーザー利用者の手順
-
IAM ユーザー管理者から配布された csv の認証情報を利用して AWS アカウントにサインイン

-
初回サインイン時のパスワードリセットを実施
成功しない場合は、パスワードポリシーを満たしていない可能性もあるため、管理者に問い合わせてください。


-
MFA 設定のため、自分の IAM ユーザーを選択
今回は MFA 設定を強制している環境のため、サインインするとアクセス拒否が多数確認できます。

-
セキュリティ認証情報タブのMFA デバイスの割り当てを選択

-
下記の通り設定
・デバイス名:今回はユーザー名と同名が必須の環境です。(設計次第では異なります。)
・MFA デバイス:所属組織の規定に合わせて選択してください。今回は認証アプリケーションを選択しています。

-
QR コード、もしくはシークレットキーを利用して MFA デバイスを登録

正常に登録できると下記のように確認できます。

-
MFA サインイン確認のため、一度サインアウト

-
再度サインイン



正常にサインインできると下記のように確認できます。
ただし、権限によっては多数のアクセス拒否が表示される場合もあります。

2. 権限を変更する
権限変更は、原則として IAM グループの所属を変更して行います。
切り替え中に利用者のアクセスを失わせないため、新しいグループへの追加、確認、古いグループからの削除の順に実施します。
複数のロールを継続して利用させる場合は、古いグループを削除せずに追加します。
既存権限を置き換える場合のみ、確認後に古いグループから削除します。
IAM ユーザー管理者の手順
-
IAM ユーザー利用者の IAM ユーザーを選択

-
ユーザーをグループに追加を選択

-
対象の IAM グループを選択し、
ユーザーをグループに追加を選択

-
既存のグループから IAM ユーザーをデタッチします。


IAM ユーザー利用者の手順
特になし。数秒〜数十秒のタイムラグがある場合がありますが、再サインイン不要で権限変更が反映されます。
3. IAM ユーザーを削除する
IAM ユーザー管理者の手順
-
IAM ユーザー利用者の IAM ユーザーを選択し、
削除を選択

-
アクセスキーが有効な場合は、
アクセスキーを無効化するを選択し、その後confirmを入力し、ユーザーを削除を選択

IAM ユーザー利用者の手順
必須の作業はなし。
必要に応じて MFA や aws cli の設定の削除などを行ってください。
あとがき
手順をご相談いただくこともあるため、改めて汎用的な手順としてまとめてみました。
この記事がお役に立てば幸いです。
以上、くろすけでした!






