Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@If_it_bleeds-we_can_kill_it(巷の インフラエンジニア)

IAMを導入する際に参考にしたサイト

Last updated at Posted at 2023-03-16

AWSアカウントを作って真っ先にやるのはIAM関連。
ActiveDirectoryをやってた身(もはや遠い過去になりつつある・・・)としては、よくありがちな権限設定。

AWSのIAMは細かく権限を設定できるがゆえに、下手にカスタマイズしすぎると非常に煩雑になる。事前に公式の上限値やベストプラクティスに沿って設計することが大事。

特によく見た参考

AWS ルートユーザーが使用されたことを通知する監視設定
https://qiita.com/tonishy/items/024ec90dc9b75f22e8e9
AWSアカウントを開設したら、真っ先にこれをやる。

AWS公式 IAM と AWS STSクォータ
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_iam-quotas.html
次にクォータを見て、上限値をチェックした。

Amazon IAM編~ビリング閲覧用アカウントを作ろう~:ナレコムAWSレシピ
https://recipe.kc-cloud.jp/archives/6020
クラウドサービスを使う上で、経理やお偉いさんから真っ先に言われるのは「いくらかかるの?」というところ。IAMユーザー渡して、毎日見せてという人もいる。とはいえ、IAMユーザーをAdministratorAccessで渡すのも、それはそれで微妙。というわけで、ビリング閲覧用IAMユーザーを作っておく。

Amazon S3のアクセスに必要な最低限のIAMポリシーの設定:JPCYBER
https://www.jpcyber.com/support/minimal-iam-policy-to-access-amazon-s3

[AWS] S3を操作するIAM JSON ポリシーのサンプル:ねこの足跡R
https://blog.katsubemakito.net/aws/s3-iam-jsonpolicy
S3を利用するにあたってのIAMポリシーの権限を設定するための参考サイト。おすすめ。

まあまあ見た参考

Transit Gateway の認証とアクセス制御
https://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/transit-gateway-authentication-access-control.html

Amazon Virtual Private Cloud の AWS 管理ポリシー
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/security-iam-awsmanpol.html

Transit Gateway の認証とアクセス制御
https://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/transit-gateway-authentication-access-control.html

Elastic Load Balancing の Identity and Access Management
https://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/userguide/load-balancer-authentication-access-control.html

AWS IAM Userアクセスキーローテーションの自動化
https://engineering.dena.com/blog/2021/12/aws-iam-user-credential-auto-rotation/

Amazon VPC ポリシーの例
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-policy-examples.html

IAMのEC2権限をまとめてみた
https://blog.serverworks.co.jp/tech/2014/02/07/iam-ec2/

基本的な(個人的な)IAMの考え方

・ルートユーザーは使わない:無効にできないので、使わない方針にしてログインしたら検知する仕組みを導入する
・IAMユーザーにシークレットキーなどを使わせない
・AWSのリソースをAWSCLIで操作するときは、EC2から実行か、CloudShellを使う
・MFAは必ず有効にする
・IAMグループを作って、そこにIAMユーザーを集約する
・IAMグループに権限をつける、IAMユーザーには権限をつけるのは最小のみ(またはつけない)

⇒ActiveDirectoryとかやってれば当たり前の考え方が多いけれど、AWSのリソース操作のところだけはクラウドならではの考え方(IAMロール(役割)をリソースに割り当てて権限設定するところ)。

とても有用だった技術書

AWSの薄い本 IAMのマニアックな話 Kindle版
https://www.amazon.co.jp/AWS%E3%81%AE%E8%96%84%E3%81%84%E6%9C%AC-IAM%E3%81%AE%E3%83%9E%E3%83%8B%E3%82%A2%E3%83%83%E3%82%AF%E3%81%AA%E8%A9%B1-%E4%BD%90%E3%80%85%E6%9C%A8%E6%8B%93%E9%83%8E-ebook/dp/B085PZCMG2

AWSの薄い本Ⅱ アカウントセキュリティのベーシックセオリー Kindle版
https://www.amazon.co.jp/gp/product/B08F3BVSJQ/ref=dbs_a_def_rwt_hsch_vapi_tkin_p1_i8

この2冊は初めてIAMを導入するにあたって、買っておいて損はないというか、ほぼ権限の設計が網羅的にわかるかつ、ベストプラクティスも書いてあってよい。これを買えばIAMが一通り理解できるのでは?と思う。お値段以上の価値がある。値段が高ければ前者だけでも十分理解が深まる。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?