IAMユーザーのマネジメントコンソールのログインを作成後に無効化してみた

ちゃだいん

2019.08.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

大阪オフィスのちゃだいんです。

IAMユーザーは作成後に、認証情報を色々変更することが可能です。

今回は、IAMユーザー作成後に、マネジメントコンソールからアクセスできないようにしてみました。

公式のドキュメントは以下を参考にしております。

IAM ユーザーのパスワードの管理 - AWS Identity and Access Management

早速やってみた

1. 管理者としてIAMユーザーを作成する

  • まずはテスト対象のIAMユーザーTestUserAを作成するために、コンソールにログインします。

  • ユーザーの作成へと進みます。アクセスの種類にてマネジメントコンソールへのアクセスにチェックを入れます。

  • アクセス許可については、S3FullAccessのポリシーを付与してみます。

  • そうやってIAMユーザーを作成しました。

  • 作成完了画面にて、User名・パスワード、アクセスキー・シークレットアクセスキーが記載されているCredentials.csvをダウンロードします。

2. IAMユーザーでログインする

  • 別のブラウザを立ち上げます。(基本的にAWSは1つのブラウザで、複数のユーザーに同時にログインすることはできません)

  • 先ほどのCredentials.csvの情報を使用して、マネジメントコンソールにログインします。

  • ちゃんとログインできました。

  • 他の画面は権限がありませんが、S3の画面を開くとS3バケットの一覧がみれます。

3. IAMユーザーのコンソールログインを無効化する

  • 管理者アカウントの方に戻ってきます。

  • 先ほど作成したIAMユーザーの詳細を開きます。

  • 認証情報タブの中に、コンソールのパスワード管理があるので開きます。

  • 現在は以下のようにコンソールへのアクセスが有効化されてます。

  • これを無効化しました。

  • 適用すると、先ほどから変更され、コンソールのパスワードは無効になりました。

(概要の部分にもログイン用のURLがあったのがなくなりました)

4. もう一度IAMユーザーでログインする

  • 別のブラウザにてIAMユーザーでログインしS3の画面をみていた方に戻ります。

  • こちらはログインしたままだったので、コンソールログインが無効化が即時反映され、締め出されるのか確認してみました。

  • ブラウザをリロードしたところ、S3バケット一覧は見えていたので、どうやら現在すでにアクセスしているユーザーを締め出すことはできないようです。

  • 再入場はできないか、一度ログアウトしました。

  • そして、もう一度ログインしてみると、案の定入れませんでした。

感想

アクセスの種類は後から自由に追加・削除など変更でき、ユーザー権限管理は柔軟に対応できそうだと実際やってみて感じました。

誰かのお役に立てば幸いです。それでは、大阪オフィスのちゃだいんでした。

AWS

関連記事

「出張! #DevelopersIO IT技術ブログの中の人が語る勉強会 第3回」にて IAM ABAC の話をしました

川原征大

2024.04.18

Invalid principal in policyが出たら確認したい!IAMロール・IAMユーザーが削除されるとPrincipal要素のARNがプリンシパルIDに置き換わります

niino

2024.04.18

マネジメントコンソールにログインすると、CloudTrailにイベント名「ListNotificationHubs」がエラーコード「AccessDenied」として記録されるのはなぜですか

ai

2024.04.11

【小ネタ】サービスリンクロールとサービスロールを見分ける方法

片方 裕人

2024.04.01