はじめに
背景
本ドキュメントは、AWSのアクセスキーに関する実践的なガイドです。アクセスキーはプログラムやコマンドラインからAWSに接続するために使います。たとえば、ファイルをS3にアップロードしたり、スクリプトでリソースを管理したりする場面で必要になります。
本書の目的
初心者から中級者が安全にアクセスキーを取得・管理できるよう、具体的な手順と注意点を分かりやすくまとめました。実際の操作手順(コンソールやCLI)や、S3用に制限したキーの作り方、WindowsでのCLI設定まで網羅します。
対象読者
・AWSをこれから使い始める方
・アクセスキーの管理に不安がある開発者や運用担当者
本書の構成
第1章 はじめに(本章)
第2章 アクセスキーの安全な取得方法
第3章 S3用アクセスキーの作成
第4章 WindowsでのAWS CLI設定
注意事項
アクセスキーは秘密情報です。共有やメール送信は避け、必要最小限の権限を付与してください。
AWSのアクセスキーを安全に取得する方法(2025年3月更新)
前提
AWSアカウントの管理者権限または必要なIAM操作権限を持っていること。MFA(多要素認証)を管理者に設定することを推奨します。
1. コンソールにログインしてIAMへ移動
- AWSマネジメントコンソールにサインインします。
- サービス一覧から「IAM」を選択します。
2. ユーザーの作成または既存ユーザーの選択
- 左メニューで「ユーザー」を選び「ユーザーを追加」をクリックします。
- プログラムによるアクセス(Programmatic access)を有効にし、わかりやすいユーザー名を付けます(例:deploy-bot)。
3. アクセスキーの作成手順
- 作成後、該当ユーザーを開き「セキュリティ認証情報」タブへ移動します。
- 「アクセスキーの作成」をクリックすると、Access Key ID と Secret Access Key が発行されます。
- Secret Access Keyはこの画面でしか表示されないため、必ず安全な場所に保存してください(例:パスワード管理ツール、AWS Secrets Manager)。
4. グループ設定と権限管理
- ユーザーはグループに所属させ、グループにポリシーを割り当てます。
- 最小権限の原則を守り、必要な操作だけ許可するマネージドポリシーやカスタムポリシーを使います(例:S3の読み取り専用はAmazonS3ReadOnlyAccess)。
5. 管理ユーザーでの許可セット作成と割り当て
- 組織的に管理する場合は、管理者ユーザーで許可セット(Permission set)を作成します。
- 許可セットに必要なポリシーを追加し、対象のグループに割り当てます。これにより複数ユーザーへ一括適用できます。
注意点
- 長期的なアクセスキーは可能な限り避け、短期トークン(STS)やロールを優先してください。
- 定期的にキーをローテーションし、不要なキーは削除します。
- 鍵が漏れたら直ちに無効化し、影響範囲を確認してください。
S3へのアクセスキーとシークレットキーの作成方法
概要
AWS Management ConsoleでIAMユーザーを作成し、プログラムによるアクセス(アクセスキー)を発行して、特定のS3フォルダへアクセス権限を限定する手順を丁寧に説明します。
手順
- AWSコンソールにログインし、サービスから「IAM」を選びます。
- 左メニューの「ユーザー」→「ユーザーを追加」をクリックします。
- ユーザー名を入力し、「プログラムによるアクセス(アクセスキー)」にチェックを入れます。これでAPIやCLIから使えるキーを作成します。
- 権限の設定では「既存のポリシーを直接アタッチ」か「カスタムポリシー」を選びます。特定バケットの特定フォルダに限定するにはカスタムポリシーを使います。
ポリシー例(簡易)
以下はバケット名example-bucketのfolder/以下だけ許可する例です(JSON)。
{
“Version”:”2012-10-17″,
“Statement”:[
{“Effect”:”Allow”,”Action”:[“s3:GetObject”,”s3:PutObject”],”Resource”:[“arn:aws:s3:::example-bucket/folder/“]},
{“Effect”:”Allow”,”Action”:”s3:ListBucket”,”Resource”:”arn:aws:s3:::example-bucket”,”Condition”:{“StringLike”:{“s3:prefix”:[“folder/“]}}}
]
}
- 必要ならタグを追加して管理しやすくします(例:用途=バックアップ)。
- 設定内容を確認して「ユーザーの作成」をクリックします。
- 作成後に表示される画面で「アクセスキーID」と「シークレットアクセスキー」が表示されます。シークレットキーはこの画面でしか完全には表示されません。必ず安全な場所に保存してください。必要ならダウンロードします。
注意点
- シークレットは一度しか表示されないため、コピーやダウンロードを忘れないでください。
- 必要最小限の権限だけを付与してください。長期間使う場合は定期的にキーをローテーションしてください。
- 万一流出したらすぐにキーを無効化・削除してください。
WindowsでのAWS CLIのインストールおよびアクセスキー設定
はじめに
WindowsでAWS CLIを使うと、コマンドからS3などのサービスを操作できます。本章では初心者向けに、インストールからアクセスキーの設定、動作確認まで丁寧に説明します。
前提条件
- 有効なAWSアカウントとIAMユーザー(管理者権限は不要)。
- 作成済みのアクセスキー(本章内で作成方法を説明します)。
AWS CLIのインストール手順(簡単)
- AWS公式のWindows用インストーラー(MSI)をダウンロードして実行します。画面の指示に従ってインストールしてください。インストール後はPowerShellやコマンドプロンプトを再起動します。
- インストール確認: PowerShellを開き、次を実行します。
aws –version
正しく入っていればバージョンが表示されます。
IAMユーザーでのアクセスキー作成(コンソール操作)
- AWSマネジメントコンソールにログインし、IAMサービスを開きます。
- 左メニューの「ユーザー」から対象ユーザーを選びます。
- 「セキュリティ認証情報」タブを開き、「アクセスキーの作成」を選択します。
- ユースケースは「プログラムによるアクセス(API / CLI)」を選び、説明用のタグやメモを入力します。
- 作成後、アクセスキーIDとシークレットアクセスキーが表示されます。シークレットはこの画面でしか確認できませんので必ず保存してください。※同一ユーザーでキーは上限2つです。
キーの安全な保存と運用のポイント
- キーはテキストファイルやメールで共有せず、パスワード管理ツールを使って保管してください。
- 不要になったキーは速やかに削除または無効化します。
- 開発環境ではIAMロールの利用や権限限定を検討してください。
AWS CLIへの設定方法
- PowerShellで次を実行します。
aws configure
プロンプトで順に「AWS Access Key ID」「AWS Secret Access Key」「Default region name(例: ap-northeast-1)」「Default output format(json)」を入力します。 - 設定は %USERPROFILE%.aws\credentials と %USERPROFILE%.aws\config に保存されます。手動で編集することも可能です。
動作確認
PowerShellで次を実行して接続確認します。
aws sts get-caller-identity
正しい応答が返れば設定完了です。S3権限がある場合は、aws s3 ls でバケット一覧を確認できます。
注意事項
- アクセスキーは外部に漏らさないでください。
- 自動化やサーバー上ではIAMロールを優先して使うと安全です。
