IAMユーザーのマネジメントコンソールのログインを作成後に無効化してみた

大阪オフィスのちゃだいんです。

IAMユーザーは作成後に、認証情報を色々変更することが可能です。

今回は、IAMユーザー作成後に、マネジメントコンソールからアクセスできないようにしてみました。

公式のドキュメントは以下を参考にしております。

IAM ユーザーのパスワードの管理 - AWS Identity and Access Management

早速やってみた

1. 管理者としてIAMユーザーを作成する

• まずはテスト対象のIAMユーザーTestUserAを作成するために、コンソールにログインします。

• ユーザーの作成へと進みます。アクセスの種類にてマネジメントコンソールへのアクセスにチェックを入れます。

• アクセス許可については、S3FullAccessのポリシーを付与してみます。

• そうやってIAMユーザーを作成しました。

• 作成完了画面にて、User名・パスワード、アクセスキー・シークレットアクセスキーが記載されているCredentials.csvをダウンロードします。

2. IAMユーザーでログインする

• 別のブラウザを立ち上げます。（基本的にAWSは１つのブラウザで、複数のユーザーに同時にログインすることはできません）

• 先ほどのCredentials.csvの情報を使用して、マネジメントコンソールにログインします。

• ちゃんとログインできました。

• 他の画面は権限がありませんが、S3の画面を開くとS3バケットの一覧がみれます。

3. IAMユーザーのコンソールログインを無効化する

• 管理者アカウントの方に戻ってきます。

• 先ほど作成したIAMユーザーの詳細を開きます。

• 認証情報タブの中に、コンソールのパスワード管理があるので開きます。

• 現在は以下のようにコンソールへのアクセスが有効化されてます。

• これを無効化しました。

• 適用すると、先ほどから変更され、コンソールのパスワードは無効になりました。

（概要の部分にもログイン用のURLがあったのがなくなりました）

4. もう一度IAMユーザーでログインする

• 別のブラウザにてIAMユーザーでログインしS3の画面をみていた方に戻ります。

• こちらはログインしたままだったので、コンソールログインが無効化が即時反映され、締め出されるのか確認してみました。

• ブラウザをリロードしたところ、S3バケット一覧は見えていたので、どうやら現在すでにアクセスしているユーザーを締め出すことはできないようです。

• 再入場はできないか、一度ログアウトしました。

• そして、もう一度ログインしてみると、案の定入れませんでした。

感想

アクセスの種類は後から自由に追加・削除など変更でき、ユーザー権限管理は柔軟に対応できそうだと実際やってみて感じました。

誰かのお役に立てば幸いです。それでは、大阪オフィスのちゃだいんでした。