IAMユーザーのマネジメントコンソールのログインを作成後に無効化してみた

大阪オフィスのちゃだいんです。

IAMユーザーは作成後に、認証情報を色々変更することが可能です。

今回は、IAMユーザー作成後に、マネジメントコンソールからアクセスできないようにしてみました。

公式のドキュメントは以下を参考にしております。

IAM ユーザーのパスワードの管理 - AWS Identity and Access Management

早速やってみた

1. 管理者としてIAMユーザーを作成する

  • まずはテスト対象のIAMユーザーTestUserAを作成するために、コンソールにログインします。

  • ユーザーの作成へと進みます。アクセスの種類にてマネジメントコンソールへのアクセスにチェックを入れます。

  • アクセス許可については、S3FullAccessのポリシーを付与してみます。

  • そうやってIAMユーザーを作成しました。

  • 作成完了画面にて、User名・パスワード、アクセスキー・シークレットアクセスキーが記載されているCredentials.csvをダウンロードします。

2. IAMユーザーでログインする

  • 別のブラウザを立ち上げます。(基本的にAWSは1つのブラウザで、複数のユーザーに同時にログインすることはできません)

  • 先ほどのCredentials.csvの情報を使用して、マネジメントコンソールにログインします。

  • ちゃんとログインできました。  

  • 他の画面は権限がありませんが、S3の画面を開くとS3バケットの一覧がみれます。

3. IAMユーザーのコンソールログインを無効化する

  • 管理者アカウントの方に戻ってきます。

  • 先ほど作成したIAMユーザーの詳細を開きます。

  • 認証情報タブの中に、コンソールのパスワード管理があるので開きます。

  • 現在は以下のようにコンソールへのアクセスが有効化されてます。

  • これを無効化しました。

  • 適用すると、先ほどから変更され、コンソールのパスワードは無効になりました。

(概要の部分にもログイン用のURLがあったのがなくなりました)

4. もう一度IAMユーザーでログインする

  • 別のブラウザにてIAMユーザーでログインしS3の画面をみていた方に戻ります。

  • こちらはログインしたままだったので、コンソールログインが無効化が即時反映され、締め出されるのか確認してみました。

  • ブラウザをリロードしたところ、S3バケット一覧は見えていたので、どうやら現在すでにアクセスしているユーザーを締め出すことはできないようです。

  • 再入場はできないか、一度ログアウトしました。

  • そして、もう一度ログインしてみると、案の定入れませんでした。

感想

アクセスの種類は後から自由に追加・削除など変更でき、ユーザー権限管理は柔軟に対応できそうだと実際やってみて感じました。

誰かのお役に立てば幸いです。それでは、大阪オフィスのちゃだいんでした。