2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

AWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に向けた知識の整理 IAMポリシー

Last updated at Posted at 2020-02-15

概要

AWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に向けた小ネタ集。
今回はIAMポリシーについてです。

[2020年10月追記]
2回目の受験でついにプロフェッショナル試験に合格しました!
合格体験記/勉強法を以下で投稿しているので良かったら読んでください。
試験受ける予定がある方の少しでも役に立てればと思います(^^)

AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法

本題

IAMのアイデンティティ (ユーザー、ユーザーのグループ、ロール) ベースにアタッチできるポリシー(ユーザーまたはロールなどのエンティティが実行できるアクション、リソース、および条件)、リソースベースのポリシーに関する整理です。

ポリシーは実はだいぶ深い概念で一度に整理するのは難しいため今回はアイディンティティベースのポリシーです。

ポリシーの全体像としてわかりやすかったページは以下

AWS公式ドキュメントだと以下

IAM アイディンティティベースのポリシー

アイデンティティベースのポリシー

  • アイデンティティ (ユーザー、ユーザーのグループ、ロール) にアタッチする
  • 以下の管理ポリシーの2種類とインラインポリシーの1種類で合計3種類ある
  • 管理ポリシー:以下の2種類に分類される
  • AWS管理ポリシー:AWSが職務機能用に設計されているもの
  • カスタマー管理ポリシー:AWS管理ポリシーをコピーして作成でき、カスタマイズできるもの
  • インラインポリシー:単一のユーザー、グループ、またはロールに直接埋め込まれる。通常、インラインポリシーを使用することは推奨されていません。
  • 管理ポリシーとインラインポリシー

AWS管理ポリシー

  • 図にすると以下。ポイントは、
    • AWS管理のためアカウントを超えてアタッチできる

image.png

  • 職務機能単位のAWS管理ポリシーがデフォルトで用意されている
  • 職務機能のAWS管理ポリシー
    • 管理者:AdministratorAccess
    • 料金:Billing
  • データベース管理者:DatabaseAdministrator
  • データサイエンティスト:DataScientist
  • 開発者パワーユーザー:PowerUserAccess
  • ネットワーク管理者:NetworkAdministrator
  • セキュリティ監査人:SecurityAudit
  • サポートユーザー:SupportUser
  • システム管理者:SystemAdministrator
  • 閲覧専用ユーザー:ViewOnlyAccess

カスタマー管理ポリシー

  • 図にすると以下。ポイントは、
    • AWS管理ポリシーをコピーして作成でき、カスタマイズできる
    • AWSアカウント内の管理になるため他のアカウントにはアタッチできない
      image.png

インラインポリシー

  • 図にすると以下。ポイントは、
    • 単一のユーザー、グループ、またはロールに直接埋め込まれる
    • 図のDynamoDB-books-appを更新する場合、EC2-accessロールとbooks-appロールの両方のインラインポリシーを更新する必要がある

image.png

リソースベースのポリシー

  • リソースにアタッチする
  • アイディンティティベースのポリシーとは違い、リソースベースのポリシーはそのリソースにアクセスできるユーザー(プリンシパル)を指定する
  • ロールによる権限の委任の場合、他のアカウントがクロスアカウントする場合、作業時の権限はロールに定義された権限になり、委任される前に持っていたロールの権限は引き継がれない。リソースベースのポリシーの場合は、ロールは変わらないため今持っているロール権限もそのまま使えた上でクロスアカウントアクセスが可能となる。と、いった利点がある

その他参考

アソシエイト資格の勉強法は以下を参照

AWS初心者がAWS 認定ソリューションアーキテクト – アソシエイト資格試験に合格した時の勉強法

プロフェッショナル資格の勉強法は以下を参照

AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法

その他の小ネタは以下を参照

プロレベルのTips
フェデレーションとDDoS対策
IAMポリシー(本記事)
DR対策
IAMポリシーサンプル

2
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?