管理コンソールを操作する。パスワードと二段階認証を設定。
セキュリティの観点から アクセスキーの払い出しは行わない。
ローカルマシンから、AWS CLIを実行する。アクセスキーを払い出す。
管理コンソールへログインできないよう パスワードの設定は行わない。
AWSの内部リソースで使用するIAM RoleやInstance Profile。
IAMユーザとしては定義せず、認証情報の管理はAWSに任せる。
AWSの外部リソースで使用する。(CircleCIなど)
アクセスキーを払い出す。ただし、パスワードは設定しない。
上述のユーザ種別ごとに path を定義する。
- ログインアカウント
- login
- CLIアカウント
- cli
- AWS内部用システムアカウント
- internal
- AWS外部用システムアカウント
- external
アクセスキーの払い出しはterraformでも行えるが、 tfstateファイルに平文でベタ書きされるので、手動で行うこと。
また、アクセスキーは定期的に更新する。 Trusted Advisorでは、90日以内にローテーションすることを推奨している。