0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

ロール、ポリシー関連の整理

Posted at

初めに

ポリシー 、ロールについての整理

ポリシーとは

JSONフォーマットで「誰が」、「どのAWSサービスの」、「どのリソースに対して」、「どんな操作を」、「許可するか(許可しないか)」を定義したもの。
定義したポリシーをユーザーやAWSのリソース(S3など)と関連づけて、アクセスの制御を行なっている。

例) IAMユーザへのポリシーのアタッチ
「どのAWSサービスの」 ->Amazon EC2
「どのリソースに対して」 ->すべて
「どんな操作を」 ->インスタンスの起動
「許可するか(許可しないか)」 ->すべて
   ↓アタッチ
「誰が」  -> HOGEさん

 -> HOGEさんにはAmazon EC2サービスのインスタンスの起動の
権限が付与された状態

#ロールとは
AWSのサービスのアクセス権を管理するもの
アクセス権を管理したいリソースで作成できるロールは1つ。
例えば、あるEC2でIAMロールを付与したい場合、作成できるロールは1つで、複数のポリシーを割り当てることは可能。

#ユーザー、ポリシー、ロールの関連を図で整理
snap_IAM.png

ポリシーの種類

ポリシー 概要
ユーザーベースのポリシー IAMユーザー、IAMグループ、IAMロールに紐付けるポリシー
リソースベースのポリシー AWSサービスに紐づけるポリシー。「誰が」リソースにアクセスできるのか直接の指定が可能。 アカウントを跨いだリソースへのアクセスも可能(※)
信頼ポリシー IAMロールに紐づけるポリシー。信頼ポリシーを紐付けたIAMロールの「誰か」に権限の移譲が可能

(※)クロスアカウントでアクセスする場合、ロールによる権限の委任と違い、権限が新たに付与されたアカウントのリソースへのアクセス権限と同時に、各アカウントのユーザーに既存で付与されているアクセス許可を保持できる。
一方、ロールによる権限の委任で、他のアカウントのリソースにアクセスする場合、作業時点での権限は、権限が新たに与えられたアクセス許可しか持たない(既存のユーザーで持っていたアクセス権限は維持できない)

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?