24時間365日フルマネージドホスティングサービスのデイーネット

AWSにおけるアカウントとユーザの違い

okonomi.jpg

Tヨシダです。

いきなりですが、お好み焼きは広島ですよね。
生まれも育ちも関西ですが、お好み焼きは広島。これは譲れない。
ちなみに、上記の写真は広島の電光石火というお店で、広島のお好み焼きも色々と進化しています。
あー広島いきたい。

さて、昨年はとあるプロジェクトに参画していて、結構な時間AWSに触れていたのですが、あんまり良く分かっていなかったので、自分用メモとして残しておきます。


現時点での認識

件のプロジェクトでは、各人にIAMユーザが配布されていて、それを各人管理して利用してねという形だったので、AWSアカウントのことは意識せず利用していた。
現時点で持っている認識は以下の通り。

・初めに作成するサインインID ⇒ 『AWSアカウント』
・ログイン後にIAMで作成するユーザ ⇒ 『IAMユーザー』
・『アカウント』 ⇒ AWSが言うところの『AWSアカウント』だよね?
・『AWSアカウント』=『ルートユーザ』なのか?

とまぁこんな状態です。

『AWSアカウント』と『ルートユーザ』の概念はこちらを参照した所、『AWSアカウント内にルートユーザの権限がありますよ』と認識した次第。

ということは別物と捉えた方がいいのかな?
この程度の認識です。


では実際に触って確かめてみる

このAWSアカウントは個人用で、暫く放置していたAWSアカウントで、IAMユーザは適当に触りましたが、ルートユーザー アクセスキーを削除はしていなかったり、他特にいじっていない無垢な状態のアカウントです。作成後すぐの状態とみてください。

ここで、AWSアカウント作成時に指定した、メールアドレスとパスワードを入力してログイン。

といいますか、画面に『ルートユーザーログイン』って書いてるし!
もうAWSアカウント=ルートユーザって捉えていいですよね。
accountaws_001.png

ログインできたので、右上の自分のアカウント名(メールアドレスではなくて、アカウント作成時に指定した自分の名前)の箇所を押下して、アカウントのページに移遷。
accountaws_002.png

ここって、AWSアカウントとは書いていないけど、AWSアカウント=アカウントとは考えて良いと思う。
現時点でこう考えて良いのかなと。

AWSアカウント=(AWSにおいては)アカウント(と呼んでも良い)=ルートユーザ

さて、以下がアカウントに関する情報。
IAM関係無い。
accountaws_003.png

ここで、ちょっと寄り道だが、例えばココとか、方々で見る、『ルートユーザー アクセスキーを削除を推奨』については何なのか?
パスワードでは無く、『アクセスキー』だからAPIで使う方のやつかと認識した。
ココ を見て、アクセスキー削除をやってみようと思う。

ログイン後のホーム画面に戻って『セキュリティ認証情報』をクリック。
accountaws_004.png

何だか注意事項が出て来ましたが、無視して『セキュリティ認証情報に進む』を押下。
accountaws_005.png

『セキュリティ認証情報』のページに遷移した。
なるほど、ここに『アクセスキー』がありますね。
accountaws_006.png

お、その前に、IAMユーザでなくて、AWSアカウント側でもMFA認証(二段階認証)できるんですね。
寄り道してやっておきます。

『Multi-Factor Authentication(MFA)』の箇所をクリックして広げる。
『MFAの有効化』をクリック。
accountaws_007.png

『仮想MFAデバイス』で進めます。
自分のスマホに『Google Authenticator』が入っていない人は、itunes等で入れておくこと。
『次のステップ』を押下。
accountaws_008.png

なんか注意事項が出て来ますけど、スルーして『次のステップ』をクリック。
accountaws_009.png

画面にQRコードが出てくるので、これを先ほど紹介したGoogle Authenticatorで読み取り。
6桁の数字が出てくるので、それを入れる。

入れる所が二つあるけど、これはGoogle Authenticatorが1分待ったら番号が変わるので、その変わった番号を2つ目として入力。
accountaws_010.png

出来た!寄り道終了。
IAMユーザでMFA登録したときは、一度ログアウトしないと、ロールの切り替えがうまくできなかったので、ログアウトしてから使い直していましたが、ここではログアウトせず作業続行。
accountaws_011.png


では、アクセスキーの削除に戻って。

『アクセスキー(アクセスキー ID とシークレットアクセスキー)』を押下すると、確かに1件アクセスキーがあるようだ。
では、これを削除するとする。
一番右側に『削除』があるので、これを素直に押下。
accountaws_012.png

すると、以下の画面。勿論『はい』を押す。
accountaws_013.png

削除済みとして、更新されています。
これでよし。
accountaws_014.png

ちなみに、一番したの『アカウントID』は、消せないもので、ARNとかで使うやつかと思うのですが、説明しきれないので、今回はスルー。
accountaws_015.png

とまぁ、こんな感じで、IAMユーザじゃなくて、AWSアカウントの初期設定みたいなことを通して、『IAMユーザと、AWSアカウントは別物なんだな』と理解してもらえれば幸いです。
このあたりの情報は検索してもあまり出てこないので、また書こうかと思います。

最後に、さっきやったMFA認証でログインして終わりたいと思います。

一度ログアウト。
先ほどと同じくルートユーザでログイン。
パスワードを入力してサインインを押下。
accountaws_016.png

先ほど設定したMFAが有効になり、二段階目の認証が出て来ました。
おっ、IAMユーザ用の画面と画面の作りが違いますね。

ここにGoogle Authenticatorの6桁の数字を入れてサインインを押下。
accountaws_017.png

ちなみに、IAMユーザのMFA認証の画面は以下。
accountaws_019.png

ということで、無事ログイン完了!
accountaws_018.png

こんな感じでアカウントの初期設定を行えました!

小ネタでしたが、以上です。

  • このページの先頭へ

  • 東京本社
    〒105-0001東京都港区虎ノ門2-3-22 第一秋山ビル5F
    TEL:03-3591-8887 FAX:03-3591-8886
  • 大阪本社
    〒541-0041 大阪市中央区北浜2-6-11北浜エクセルビル5F
    TEL:06-6231-8887 FAX:06-6231-8897

  • 認証範囲はこちらをご覧ください。

Denet logo

クラウドサービス・データセンタ・高機能専有サーバ・共有サーバホスティングサービス 株式会社ディーネット
dot_bar