IAMとは、AWS Identity and Access Management(IAM)といい、安全にAWS操作を実施するための認証・認可の仕組みを言います。
目次
ユーザ・グループ・ポリシー・ロール
ユーザ
ルートアカウントとIAMユーザがあります。
ルートアカウントは初期設定で使用したメールアドレスのことです。
ルートアカウントでは全ての操作を行うことができるため、
日常の操作にはルートアカウントは使用せず、IAMユーザを使用するようにしてください。
ルートアカウントにしかできないこと
- AWSルートアカウントのメールアドレスやパスワードの変更
- IAMユーザの課金情報へのアクセスに関するactive/deactive
- 他のAWSアカウントへのRoute53のドメイン登録の移行
- AWSサービス(サポート等)のキャンセル
- AWSアカウントの停止
- 一括請求 (コンソリデーティッドビリング) の処理
- 脆弱性診断フォームの提出
- 逆引きDNS申請
グループ
グループとして権限をまとめて設定された単位のこと。
グループには複数のIAMユーザが設定されます。
ポリシー
AWSの各種リソースに対するアクセスの可否を設定します。
JSON形式で設定します。
- Effect
- Allow⇨許可
- Deny⇨拒否
- Action
- 対象のAWSサービス 例)S3:Get
- Resource
- 対象のAWSリソース
ARNで記述
- 対象のAWSリソース
- Condition
- アクセス制御が有効となる条件
ロール
AWSの各種リソースに対するアクセス可否(IAMポリシー)を設定します。
IAMロールは、EC2などに割り当てることができ、IAMロールを割り当てられたEC2上の
プログラムは、アクセスキーとシークレットキーがなくともIAMロールに許可されている
AWSのリソースにアクセスできます。
IAM設計
IAMユーザやIAMグループを新たに作成した際、最初は何も権限が与えられていないため、
アクセス権を割り当てていきます。
その際には必要最低限のアクセス権限を割り当てるようにします。
アクセス許可と拒否のIAMポリシーが相反する場合、拒否のIAMポリシーが優先されます。
IAMユーザ x IAMグループ x IAMポリシーの関係性
試験のポイント
各IAMグループ・IAMユーザには、最小限のアクセス権を与える。
IAMポリシーはもっとも厳しいポリシー(拒否)が優先されます。
IAMロールとIAMポリシーの関係性
試験のポイント
EC2インスタンス上で実行されるプログラムの認証にはIAMロールを割り当てる
IAMロールの権限移譲
- 現在利用しているアカウントAで別アカウントBへの権限移譲用のロールを設定します
ロール作成時に別のAWSアカウントで作成する - アカウントB内で権限移譲用ロールをポリシーとして設定します
JSONを直接編集する
既存のポリシーを参考にする- Resource:AのARN
- Action
- sts:AssumeRole
- 項番2のポリシーをIAMユーザに設定します
既存のポリシーを直接アタッチ - 項番3のIAMユーザを利用してIAMロールをスイッチすることでアカウントAにアクセスできます
次のサービス「VPC」はこちら
あわせて読みたい
【AWS資格】 VPC(Virtual Private Cloud) VPCはVirtual Private Cloudの略です。 VPCはAWSクラウドのネットワークからユーザ専用の仮想ネットワーク領域のことを言います。 【VPCの概要】 任意のIPアドレス範囲…
資格取得についての概要はこちら
あわせて読みたい
【AWS資格】試験突破への12個の主要サービス一挙紹介 AWS(Amazon Web Service)の認定試験を受けようと思います。 わたくし、システムエンジニアをやってまして、クラウドの技術を使ったシステム構築を 段々仕事としてやる…
リンク
コメント