個人的リマインド用
参考
くろかわこうへいのAWS講座IAM編#1【IAMロール、ポリシー、アクセスキー、ユーザー、グループ】
ルートユーザー
クレジットカード登録して作成したアカウント。振る権限を持ち、請求情報閲覧可能でパス変更が可能。これで作業してはいけない。
IAMユーザー
ルートユーザーで作業しちゃダメだから、これを作って作業する。組織では管理者に作ってもらって、それで作業する。
IAMユーザーの認証情報
作成する際にアクセスの種類のチャックボックスを選択する。
1.プログラムによるアクセス(アクセスキーID、シークレットアクセスキーの2種類が発行される。この情報があればどこからでもAWSが操作できる。これをGithubにpush使用ものなら、不正利用されて請求がエグいことになる)
2.AWSマネジメントコンソールへのアクセス(AWSの管理画面にログインすることを許可するためのパスワードを有効にする)
IAMグループ
IAMグループは正式な「認証情報」ではない。複数のIAMユーザーのまとまりである。
複数のユーザーに1度に権限を付与できる便利なもの。ユーザーは複数のグループに所属できる。
IAMユーザーはそれぞれに認証情報を持っていて、認証情報にはパスワードかアクセスキー、もしくは両方を持つケースがある。
IAM Policy
AWSで操作できる権限を表したもの。JSON形式で記述された設定ファイルで認証主体(プリンシパルともいうらしい)にアタッチして使用。
ポリシーは権限のこと?もとからあるAWS管理ポリシーと自分で作るカスタマー管理ポリシー(より詳細に設定できて、自分でJSONを書き換える感じ)の2種類がある。
ポリシーの流れ
IAMユーザーやロールなどのPrincipalがAWSリソースなどの操作をリクエストする。そのリクエストをAWSがJSONのドキュメントとつきあわせて、許可されていないか、されているかを判断し、許可されていたらprincipalが出したリクエストを許可する。(例:EC2インスタンスをデリートするとかストップするとか)
詳細:
IAM ロール
ポリシーを複数アタッチして権限をひとまとめにしたもの。
ロールにはポリシーをアタッチすることが出来る。
信頼関係(誰がこのロールにスイッチできるのか)と権限(このロールで何ができるのか)の2つがあるらしい