AWSアカウント作成後に作るユーザについて
概要
「AWS アカウント作成後に IAM ユーザ作成して基本はそれを使用したほうがいい」という話を聞くが、実際にやろうとしたら迷ったのでそのメモ。
迷いポイント
AWS アカウント作成したし、AWS で IAM ユーザを作成しよ!と思ったところ、作成する画面で「AWS マネジメントコンソールへ...」という選択肢が出てくる。
IAM ユーザでコンソールいじろうと思っていたのでチェックしたら、Identity Center を使う方法が選択肢に出てきたけどソナタは誰なんだ...?しかも推奨されている...。
Identity Center とは?
AWS SSO の後継サービスらしい。
Identity Center で作成されるユーザで、複数 AWS アカウントへログインできるようになる仕組みらしい。
また、 Identity Center 側で作成したユーザに権限を付与することもできる。
詳しくはこちらの記事がわかりやすい
ということは?
Identity Center 側でユーザ作成してしかも権限もしているすることができるなら、AWS アカウント内で IAM ユーザを作成しなくても良さそう...?
IAM ユーザを作成しても、どちらにせよ AdministratorAccess をつけるだけっぽいしな...
当初やりたかったことは、とりあえずルートアカウントでしかできない処理(請求回りの処理とか)があるから、そこの権限を絞ること...
だとしたら、その権限が Identity Center でつけられようが、IAM ユーザ側で付けられていようが変わらない気がする...
結論
とりあえず、僕は Identity Center でユーザ作成し AdministratorAccess を付与するようにしました。
しばらくはこのユーザを使用して AWS リソースを使っていこうと思います。
そして、今後どんどん複雑になってきたら、適宜 IAM ユーザを作成して権限を分割していく流れで...
ただ、まだ AWS を勉強し始めたばかりで知識が浅いので、もし間違っていることを言っていたらどなたかご指摘もらえると嬉しいです 🙇♂️
関連
IAM アイデンティティセンターについて
ルートアカウントでしかできないこと
Discussion