Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
0
Help us understand the problem. What is going on with this article?
@fkooo

AWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に向けた知識の整理 IAMポリシー

概要

AWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に向けた小ネタ集。
今回はIAMポリシーについてです。

[2020年10月追記]
2回目の受験でついにプロフェッショナル試験に合格しました!
合格体験記/勉強法を以下で投稿しているので良かったら読んでください。
試験受ける予定がある方の少しでも役に立てればと思います(^^)

AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法

本題

IAMのアイデンティティ (ユーザー、ユーザーのグループ、ロール) ベースにアタッチできるポリシー(ユーザーまたはロールなどのエンティティが実行できるアクション、リソース、および条件)、リソースベースのポリシーに関する整理です。

ポリシーは実はだいぶ深い概念で一度に整理するのは難しいため今回はアイディンティティベースのポリシーです。

ポリシーの全体像としてわかりやすかったページは以下

AWS公式ドキュメントだと以下

IAM アイディンティティベースのポリシー

アイデンティティベースのポリシー

  • アイデンティティ (ユーザー、ユーザーのグループ、ロール) にアタッチする
  • 以下の管理ポリシーの2種類とインラインポリシーの1種類で合計3種類ある
  • 管理ポリシー:以下の2種類に分類される
    • AWS管理ポリシー:AWSが職務機能用に設計されているもの
    • カスタマー管理ポリシー:AWS管理ポリシーをコピーして作成でき、カスタマイズできるもの
  • インラインポリシー:単一のユーザー、グループ、またはロールに直接埋め込まれる。通常、インラインポリシーを使用することは推奨されていません。
  • 管理ポリシーとインラインポリシー

AWS管理ポリシー

  • 図にすると以下。ポイントは、
    • AWS管理のためアカウントを超えてアタッチできる

image.png

  • 職務機能単位のAWS管理ポリシーがデフォルトで用意されている
    • 職務機能のAWS管理ポリシー
    • 管理者:AdministratorAccess
    • 料金:Billing
    • データベース管理者:DatabaseAdministrator
    • データサイエンティスト:DataScientist
    • 開発者パワーユーザー:PowerUserAccess
    • ネットワーク管理者:NetworkAdministrator
    • セキュリティ監査人:SecurityAudit
    • サポートユーザー:SupportUser
    • システム管理者:SystemAdministrator
    • 閲覧専用ユーザー:ViewOnlyAccess

カスタマー管理ポリシー

  • 図にすると以下。ポイントは、
    • AWS管理ポリシーをコピーして作成でき、カスタマイズできる
    • AWSアカウント内の管理になるため他のアカウントにはアタッチできない image.png

インラインポリシー

  • 図にすると以下。ポイントは、
    • 単一のユーザー、グループ、またはロールに直接埋め込まれる
    • 図のDynamoDB-books-appを更新する場合、EC2-accessロールとbooks-appロールの両方のインラインポリシーを更新する必要がある

image.png

リソースベースのポリシー

  • リソースにアタッチする
  • アイディンティティベースのポリシーとは違い、リソースベースのポリシーはそのリソースにアクセスできるユーザー(プリンシパル)を指定する
  • ロールによる権限の委任の場合、他のアカウントがクロスアカウントする場合、作業時の権限はロールに定義された権限になり、委任される前に持っていたロールの権限は引き継がれない。リソースベースのポリシーの場合は、ロールは変わらないため今持っているロール権限もそのまま使えた上でクロスアカウントアクセスが可能となる。と、いった利点がある

その他参考

アソシエイト資格の勉強法は以下を参照

AWS初心者がAWS 認定ソリューションアーキテクト – アソシエイト資格試験に合格した時の勉強法

プロフェッショナル資格の勉強法は以下を参照

AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法

その他の小ネタは以下を参照

プロレベルのTips
フェデレーションとDDoS対策
IAMポリシー(本記事)
DR対策
IAMポリシーサンプル

0
Help us understand the problem. What is going on with this article?
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
fkooo
自分の整理/伝える力の向上を目指して投稿しています(^^) 最近のテーマはいかに早く品質良く作る時のベストはなにか?です。 次のテーマを少しずつ投稿予定です。  AWS/Docker/Python/Heroku/Javaなど

Comments

No comments
Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account Login
0
Help us understand the problem. What is going on with this article?