何を書いている?
AWSのIAMロールの仕組みをシンプルに理解するための解説。
IAMロールって何?という方向けです!
IAMロールの設定手順
- IAMロールを作成(ただの箱)
- 信頼ポリシーを設定
→ このIAMロールがどのリソースに適用できるのかを定義
(例:EC2に適用できるものであることを定義)
- 信頼ポリシーを1のIAMロールに紐付け
- ロールポリシーアタッチの設定
→ 任意のポリシーを1のIAMロールに紐付ける
→ ポリシーは権限みたいなものでS3のファイルを読み取れるようにするポリシーなどがある
(逆にこれをしないと他のリソースにアクセスできない)
出来上がったIAMロール
上記により、IAMロールは以下のような中身となります:
- EC2に適用できる
- 適用することでS3のファイルを読み取る権限が付与される
このIAMロールをインスタンスプロフィールを使ってEC2に紐づける
→ これにより初めてそのEC2がS3を読み取れるようになる👍
まとめ
IAMロールは「誰が」「何を」できるかを明示的に設定できる仕組みのこと。
- 信頼ポリシー → 誰が(EC2)このロールを使えるか
- アクセスポリシー → 何を(S3内のファイル読み取り)することができるか
感想
わざわざこんな設定しやなアクセスできひんのk、、とも思いましたが、確かに明示的に許可されたものしかアクセスできないのは安全。