IAMとは
IAM(Identify and Access Management)
ルートユーザー
AWSにアカウント登録すると、ルートユーザーという物が作られる。認証情報として、Eメールアドレスとパスワードを持っている。
フル権限、請求情報閲覧可能、パスワードの変更可能
※日々の業務では使用しないことを推奨
-IAMユーザー
AWSアカウント内で個別に作成できるユーザーの情報のこと
認証する情報を選択する必要がある
・パスワード
・アクセスキー
IAMグループ
IAMユーザーをひとまとめにした物
権限管理が楽になる
IAMロール
AWSアカウント内で作成できる認証情報
短期的な認証情報
アクセスキーといった情報を持たない
運用方法
EC2を削除できる権限を持ったロールを作成
それをあるユーザーにこのロールをスイッチできる権限を与えると削除できるようになる。
EC2などにも付けられる。
MFA(Multi-Factor Authentication:多要素認証)
スマホなどのデバイスを利用して追加で設定できる認証のこと
IAMポリシー
ポリシーとはJSON形式のドキュメント
リクエストを評価するポリシー
1.Identity-based Polocies(アイデンティティベースのポリシー)
・管理ポリシー
-AWS管理ポリシー
-カスタマー管理ポリシー
・インラインポリシー
管理が少し複雑
2.Resource-based Policies(リソースベースのポリシー)
S3などにアタッチするポリシー
1と2のポリシーはOR関係
3.Service Control Policies(組織SCP)
IdentiryベースのポリシーとOrganizarionsSCPの両方が許可したものが操作できるAND条件のポリシー
4.IAM Permissions Boundaries(境界)
IdentiryベースのポリシーとPermissionsBoundariesの両方が許可したものが操作できるAND条件のポリシー
5.Access Control Pollicies(ACLs)
他のアカウントのプリンシパルがどのリソースにアクセスできるかコントロールできるポリシー
6.Session Policies
IAMロールやペデレーションしたユーザーの一時的なセッションを認証情報をパラメータとして渡すもの