ユースカジノ スロット
投稿日: 2025/03/18
はじめに
こんにちは。ユースカジノ スロットの朴木です。
みなさまIAMユーザの管理についてどのように整理していますでしょうか。
管理するAWSユースカジノ スロットが増えるにつれ、それぞれのユースカジノ スロットにアクセスするユーザは多岐にわたり、IAMユーザの管理も複雑になりつつあります。
複数のAWSユースカジノ スロットがある場合はAWS Organizationsの導入をお勧めしますが、今回はOrganizations環境が導入されていない場合にも使えるIAM管理テクニックをご紹介します。
スイッチユースカジノ スロットについて
今回紹介するのは踏み台アカウントを用いたスイッチユースカジノ スロットでのIAM管理運用となります。
踏み台アカウントにて、IAMユーザを作成し、アクセス先のアカウントにて踏み台アカウントのユーザからのアクセスを引き受けることのできるユースカジノ スロットを作成します。
本記事ではIAMユーザを別のアカウントへユースカジノ スロットするための手順をご紹介しますが、実際の運用を考える際はIAMグループを用いてIAMユーザをグルーピングし、紐づける権限を整理して付与するとより良い構成になります。
適切なユースカジノ スロットへのスイッチを行うことで必要な権限でのアクセスを可能にし、ユーザの作成削除については各アカウントではなく、踏み台アカウントのユーザのみで対応することが可能になります。
MFA設定を必須にしよう
各アカウントは踏み台アカウントからのユーザアクセスを受け入れますが、もし第三者の手にユーザ情報がわたってしまった場合、設定されたユースカジノ スロットを用いてそれぞれのアカウントに対してアクセスが可能になってしまいます。
セキュリティ上、踏み台ユースカジノ スロットのIAMにはMFAを設定し、MFAが設定されていない場合はサービスへのアクセスをできないよう設定しましょう。本記事ではMFAを設定しない場合は操作拒否するポリシーについても設定紹介します。
手順
まずはユースカジノ スロット先のアカウントから設定を始めます。
今回はReadOnly権限を付与したユースカジノ スロットを作成します。
信頼されたエンティティでは「AWSアカウント」を選択し、踏み台アカウント(ユースカジノ スロット元)のAWSアカウントのIDを入力し、「次へ」を選択します。
次に紐づけるポリシーを選択し、ユースカジノ スロット名を入力してIAMユースカジノ スロットを作成します。
続いて踏み台アカウント(ユースカジノ スロット元)での設定に移りましょう。
踏み台ユースカジノ スロットのIAMユーザに付与するポリシーを作成します。
まずはユースカジノ スロット許可するため、下記のポリシーを作成します。
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::[アカウントID]:role/[ユースカジノ スロット名]"
}
}また、MFA設定を必須とするため下記のポリシーを作成します。
このポリシーを付与することで、MFAを設定していない場合はほとんどの操作を拒否することができます(MFAの設定やパスワード変更は可能)。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowManageOwnUserMFA",
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
],
"Action": [
"iam:ListVirtualMFADevices",
"iam:DeleteVirtualMFADevice",
"iam:ListMFADevices",
"iam:EnableMFADevice",
"iam:DeactivateMFADevice",
"iam:ResyncMFADevice",
"iam:ListUsers",
"iam:GetUser",
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary",
"iam:ChangePassword"
]
},
{
"Sid": "AllowUserToCreateVirtualMFADevice",
"Effect": "Allow",
"Action": [
"iam:CreateVirtualMFADevice"
],
"Resource": "arn:aws:iam::*:mfa/*"
},
{
"Sid": "DenyManageOwnUserWithoutMFA",
"Effect": "Deny",
"NotAction": [
"iam:ListVirtualMFADevices",
"iam:CreateVirtualMFADevice",
"iam:DeleteVirtualMFADevice",
"iam:ListMFADevices",
"iam:EnableMFADevice",
"iam:DeactivateMFADevice",
"iam:ResyncMFADevice",
"iam:ListUsers",
"iam:GetUser",
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary",
"iam:ChangePassword"
],
"Resource": [
"*"
],
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
上記2つのポリシーを付与したIAMユーザを作成したら、このユーザで踏み台ユースカジノ スロットにログインしてみましょう。
初回ログイン時はMFAが設定されていないためすべてのサービスの情報が見えない状態になりますので、まずはMFAを設定ください。今回MFAの設定手順は省略させていただきます。
MFAの設定後は再度ログインを行ってください。再ログインを実施しないとIAMのMFA設定情報が更新されず上記のポリシーによってサービスへのアクセスが拒否されたままになります。
再ログインしたら「ロールの切り替え」よりユースカジノ スロット行います。
スイッチ先のアカウントIDとロール名を入力し、ユースカジノ スロット行います。
これでスイッチユースカジノ スロットの手順は完了です!
おわりに
利用しているユースカジノ スロットが少数の場合、ユースカジノ スロットやユーザの管理は比較的量が多くないため管理者が一人でもすべてのユーザやポリシーを管理しきれるかと思います。
しかし昨今ではAWSの利用増加に伴い、利用部門ごとにユースカジノ スロットをもったり、検証や本番環境ごとにユースカジノ スロットを分けたりすることが増えつつあるため、一つの企業でも何十、何百というユースカジノ スロットを保有することも少なくありません。
ユースカジノ スロット数が増えるとその分ユースカジノ スロット個別の要件やユーザ数が増えるためより管理は複雑さを増します。管理方針を定めずにユースカジノ スロットが増えていくと、いざユースカジノ スロットやユーザを管理統合するときに工数や労力が多くかかってしまいます。
今回は踏み台にユーザを作成し、そこからユースカジノ スロット行う方法をご紹介しましたが、先の運用を考えるとIAMグループにIAMユーザを紐づけそれぞれの適切なアカウントの適切なロールにスイッチできるよう設計したほうがより汎用性の高い構成にすることができます。
ユースカジノ スロットはAWS Organizations環境がなくとも複数のAWSアカウントのIAMユーザを1か所に集約することが可能です。またOrganizations環境をお持ちの場合はCloudFormation StackSetsにてテンプレートを使いロールを作成することでAWSアカウントが増えた場合でも簡単にスイッチ先のロール作成を行うことができ、より労力を削減することが可能となります。
踏み台ユースカジノ スロットにてユーザを管理することで、ユーザの追加や削除の際の手間を軽減することができるためぜひご検討いただければ幸いです。
ユースカジノ スロットは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。
