概要
AWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に向けた小ネタ集。
今回はIAMポリシーについてです。
[2020年10月追記]
2回目の受験でついにプロフェッショナル試験に合格しました!
合格体験記/勉強法を以下で投稿しているので良かったら読んでください。
試験受ける予定がある方の少しでも役に立てればと思います(^^)
AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法
本題
IAMのアイデンティティ (ユーザー、ユーザーのグループ、ロール) ベースにアタッチできるポリシー(ユーザーまたはロールなどのエンティティが実行できるアクション、リソース、および条件)、リソースベースのポリシーに関する整理です。
ポリシーは実はだいぶ深い概念で一度に整理するのは難しいため今回はアイディンティティベースのポリシーです。
ポリシーの全体像としてわかりやすかったページは以下
AWS公式ドキュメントだと以下
IAM アイディンティティベースのポリシー
- アイデンティティ (ユーザー、ユーザーのグループ、ロール) にアタッチする
- 以下の管理ポリシーの2種類とインラインポリシーの1種類で合計3種類ある
- 管理ポリシー:以下の2種類に分類される
- AWS管理ポリシー:AWSが職務機能用に設計されているもの
- カスタマー管理ポリシー:AWS管理ポリシーをコピーして作成でき、カスタマイズできるもの
- インラインポリシー:単一のユーザー、グループ、またはロールに直接埋め込まれる。通常、インラインポリシーを使用することは推奨されていません。
- 管理ポリシーとインラインポリシー
AWS管理ポリシー
- 図にすると以下。ポイントは、
- AWS管理のためアカウントを超えてアタッチできる
- 職務機能単位のAWS管理ポリシーがデフォルトで用意されている
- 職務機能のAWS管理ポリシー
- 管理者:AdministratorAccess
- 料金:Billing
- データベース管理者:DatabaseAdministrator
- データサイエンティスト:DataScientist
- 開発者パワーユーザー:PowerUserAccess
- ネットワーク管理者:NetworkAdministrator
- セキュリティ監査人:SecurityAudit
- サポートユーザー:SupportUser
- システム管理者:SystemAdministrator
- 閲覧専用ユーザー:ViewOnlyAccess
カスタマー管理ポリシー
- 図にすると以下。ポイントは、
- AWS管理ポリシーをコピーして作成でき、カスタマイズできる
- AWSアカウント内の管理になるため他のアカウントにはアタッチできない
インラインポリシー
- 図にすると以下。ポイントは、
- 単一のユーザー、グループ、またはロールに直接埋め込まれる
- 図のDynamoDB-books-appを更新する場合、EC2-accessロールとbooks-appロールの両方のインラインポリシーを更新する必要がある
リソースベースのポリシー
- リソースにアタッチする
- 例えば、S3のバケットポリシー、Amazon SQS キュー、AWS Key Management Service 暗号化キーにアタッチすることができる
- 以下の一覧でリソースベースのポリシー「あり」になっているサービス
- https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html
- アイディンティティベースのポリシーとは違い、リソースベースのポリシーはそのリソースにアクセスできるユーザー(プリンシパル)を指定する
- ロールによる権限の委任の場合、他のアカウントがクロスアカウントする場合、作業時の権限はロールに定義された権限になり、委任される前に持っていたロールの権限は引き継がれない。リソースベースのポリシーの場合は、ロールは変わらないため今持っているロール権限もそのまま使えた上でクロスアカウントアクセスが可能となる。と、いった利点がある
その他参考
アソシエイト資格の勉強法は以下を参照
AWS初心者がAWS 認定ソリューションアーキテクト – アソシエイト資格試験に合格した時の勉強法
プロフェッショナル資格の勉強法は以下を参照
AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法
その他の小ネタは以下を参照