こんにちは、まゆみです。
AWSに関する記事をシリーズで書いています。
今回は第2回目になります。
前回の記事では、
- そもそもクラウドとはどんなサービスのことなのか?
- AWSの概要
について書かせていただきました。
今回の記事から、もう少し具体的な内容に踏み込んでいこうと思います。
今回の記事では、AWSの『IAM(アイ・エー・エム)』とは何なのかについて書いていきますね。
ではさっそく始めていきます。
IAMとは?
IAMとは『Identity Access Management』の略になります。
IAMとはその名の通り、AWSを使う個人やグループの特定のリソースに対するアクセス権をコントロールするサービスになります。
全てのAWSユーザーに全てのリソースへのアクセス権を与えるのではなく、個人やグループに必要なアクセス権を必要に応じて与えることができるのが、IAMです。
ユーザーやグループに、それぞれに相応しい権限を与えるために
①ユーザー追加をする
②そのユーザーに必要なアクセス権を与える
の2段階が必要です。
特定のアクセス権を個々人にそれぞれ付与することもできますが、あるグループに所属する人、全員に同じ権限を与えることもできます。
グループの中に入れることができるのは、『ユーザー個人』であり、『グループ』はグループのなかに入れることはできません。
また、グループに属さないユーザーを作るのはベストプラクティスではありませんが、認められています。(上記のイラストの例で言えば、一番右の女性はどのグループにも所属していません)
他のグループにまたがって新しいグループを作ることも可能です。(上の例ではGroupCのようなグループを作ることも可能)
ポリシーとは?
引用元:AWSコンソール
ユーザー、またはグループを作ったあとは、それぞれのユーザー・グループにふさわしいポリシーを紐づけることです。
ポリシーとは、ある特定のユーザー・グループができるアクセス権の書かれたドキュメントです。
上記のスクショに書かれているように、通常JSONフォーマットで保存されています。
引用元:AWSコンソール
ポリシーは、個々のユーザーに対しても、グループ分けされたそのメンバー全員にも付与する事ができます。
では、ここで一つの疑問。。。
例えば
EC2(サーバーコンピュータのようなもの)にあるアプリケーションがあり、そこを経由してS3(ストレージのようなもの)内にあるファイルにアクセスしなければいけないなどの時はどうしたら良いのでしょうか?
それが『Roll(ロール)』と言われるものになります。
ポリシーは、特定のユーザーやグループに付与されるものですが、ロールは主にインスタンスに対して与えられるものになります。
実際にIAMを使ってみる
では、IAMの概要が理解できたところで、実際にIAMを使ってみましょう
AWSのサービスの、『セキュリティ、ID、およびコンプライアンス』に『IAM』はあります。
また、新規登録の際に自動的にユーザーが作られたと思いますが、それはルートユーザーと言われるもので全ての権利が与えられている者なので、パワーを持ちすぎているという理由から、日々のタスクをこなす際に使うことは推奨されていません。
なので、新しいユーザーを追加しましょう
『ユーザーを追加』をクリック
必要事項を入力します。
今回は、私しかユーザーがいないので、『カスタムパスワード』で自分の作ったパスワードを使用しますが、例えば他の誰かのためのユーザー追加をする時は、自動生成パスワードを選択してもよいでしょう。
パスワードのリセットが必要かどうかも、その時々で臨機応変に選択してくださいね。
『グループの作成』をクリック
グループ名を入力して、ポリシーを選択してチェックします。
これで、このグループに属するメンバーは全員チェックしたポリシーを引き継ぐことになります
その後、『グループの作成』をクリック
タグ名を追加できますが、オプションなので、入れても入れなくても構いません
確認画面になります
そのまま先に進むと、ユーザー登録を無事に終えることができます
もし、このユーザー登録情報のバックアップを取っておきたかったり、他の人のためにユーザーの追加をした場合などには、
.csvのダウンロード
Eメールの送信
をすることもできます
まとめ
今回の記事は、ここで締めくくらせていただきます。
次回も引き続きAWSについての記事を投稿しますので、よろしくお願いします