📅 学習日:2025年5月22日(木)
✅ 今日の学習内容
- BlackBelt:IAM Part2(権限の委任、ライフサイクル)
🧠 学んだこと・気づき(メモ)
IAM(BlackBelt)
- IAMロールはAWSアカウント内だけでなく、外部ユーザー(SAML 2.0 や OpenID)にも渡せる
- STS(Security Token Service)で発行した一時的な認証情報は、有効期限の変更はできないが、即時削除は可能
- IAMユーザーからIAMロールへの切り替えが可能で、踏み台アカウントから環境ごとに権限を変えて操作することができる
- CloudTrailでユーザー操作を監視。全リージョンでの有効化が推奨されている
- アクセスアドバイザーを使えば、どの権限がいつ使われたかが確認でき、使われていない権限の棚卸しができる
- 「認証情報レポート」で認証情報の状態を一括確認できる → 人員のライフサイクルに合わせた管理が重要
- 認証情報は定期的なローテーションが必須(例:アクセスキーは2つ用意して交互に切り替える)
📝 今日の復習ポイント(理解があいまいだった点)
- SAML 2.0 ベースのIDフェデレーションがまだピンと来ない
→ 「AWS外の認証基盤(例:企業のAD)を使って一時的にAWSのアクセス権限を得る」イメージで理解した
📚 明日の学習予定
- BlackBelt:S3
🔗 参考資料リンク
💬 今日のひとことメモ
結局、基本は IAM ロールを使って権限管理すればいいってことか!?