AWS Identity and Access Management （IAM）

概要

• AWSでIAM管理に最低限必要な知識をざっくりと解説
• 対象読者はIAM入門者向けとなっています

ルートユーザー

• ルートユーザーはemailとパスワードでログインでき、全てのAWSサービスとリソースにアクセスできる
• 日々のタスクをルートユーザですることは推奨されない
• ルートユーザを作成した後は、個人用のIAMアドミンユーザとグループを作成することが推奨される
• AWSアカウントのルートユーザーのアクセスキーは作成、更新、無効化、削除できる
• パスワードを変更することもできる
• ルートユーザーの認証情報を持っていれば、誰でも請求情報を含むアカウントの全てのリソースに無制限にアクセスできる
• アクセスキーを作成するときは、アクセスキーIDとシークレットアクセスキーをセットで作成する
• シークレットアクセスキーの表示およびダウンロードは一回のみ
• IAMユーザもルートユーザも最大2つのアクセスキーを割り当てることができる
• アクセスキーを無効にした場合、APIコールに使用することはできず、無効なキーは制限に対してカウントされる
• 一度アクセスキーを削除した場合、永久に削除されて、回復することはできない

ルートアカウントのMFAを有効化

• ルートユーザーのMFAを有効にすると、ルートユーザー認証情報のみが影響を受ける
• アカウントのIAMユーザーは固有の認証情報を持つ独立したIDであり、各IDには固有のMFA設定がある
• MFAの認証方法は「仮想MFAデバイス」「U2Fセキュリティキー」「ハードウェアMFAデバイス」「SMSテキストメッセージベースMFA」の4種類がある
• SMS MFAのサポートはまもなく終了

IAMユーザー

• Identity and Access Management (IAM) ユーザーはAWSとやり取りするために使用するユーザーまたはアプリケーションを表す
• AWSのユーザは名前と認証情報で構成される

IAMの識別

• ユーザーのフレンドリ名（AWS マネジメントコンソール に表示される名前）
• ユーザーの Amazonリソースネーム（ARN）（AWS全体でユーザーを一意に識別する必要がある場合は、ARNを使用）

ユーザーと認証情報

• AWS には、ユーザーの認証情報に応じてさまざまな方法（コンソールパスワード,アクセスキー,CodeCommitで使用するSSHキー,サーバー証明書）でアクセスできる
• AWSマネジメントコンソールを使用してユーザーを作成するときは、少なくともコンソールパスワードまたはアクセスキーを含める選択をする必要がある
• デフォルトでは、AWS CLIまたはAWS APIを使用して作成された新しいIAMユーザーには、どのような種類の認証情報も提供されていない
• パスワード、アクセスキー、およびMFAデバイスを管理するために、次のオプションが重要
  • IAMユーザーのパスワード管理
  • IAMユーザーのアクセスキー管理
  • 認証情報のセキュリティ強化のためのMFAの有効化
  • 使用されていないパスワードおよびアクセスキーの発見
  • アカウント認証情報レポートのダウンロード

ユーザーとアクセス許可

• デフォルトでは、新しいIAMユーザーには、アクセス許可がない
• IAMユーザーを持つ利点は、アクセス許可を各ユーザーに個別に割り当てることができること

ユーザーとアカウント

• 各IAMユーザーが関連付けられるAWSアカウントは1つだけ
• AWS アカウントに作成できるIAMユーザーの数には制限がある

ユーザーとサービスアカウント

• 認証情報を使用してAWSリクエストを行う人物またはアプリケーションをサービスアカウントと呼ぶ
• アプリケーションコードに直接アクセスキーを埋め込んではいけない
• ベストプラクティスとして、長期的なアクセスキーの代わりに一時的な認証情報（IAMロール）を使用することが推奨される

IAMユーザーの作成

1. AWSマネジメントコンソール、AWS CLI、Tools for Windows PowerShell、またはAWS APIオペレーションを使用してユーザーを作成
   • AWSマネジメントコンソールでユーザーを作成する場合は、選択内容に基づいてステップ1～4が自動的に処理される
2. ユーザーに必要なアクセスのタイプに応じてユーザーの認証情報を作成
   1. プログラムによるアクセス（API コール、AWS CLI、Tools for Windows PowerShellのいずれか）
   2. AWSマネジメントコンソールアクセス（該当ユーザーのパスワード作成）
3. ユーザーを1つ以上のグループに追加することで、必要なタスクを実行するアクセス権限を付与
   • ユーザーをグループに配置し、アクセス権限の管理は、グループにアタッチされているポリシーを通して行うことが推奨される
   • アクセス許可の境界を利用してユーザのアクセス許可を制限できる（これは一般的ではない）
4. タグをアタッチして、メタデータをユーザーに追加（オプション）
5. 必要なサインイン情報をユーザーに提供（オプション）
6. ユーザーのMFAを設定（オプション）
7. ユーザーに自分の認証情報を管理する権限を与える（オプション）

IAMグループ

IAMグループ
* IAMユーザーの集合
* 複数のユーザーに対してアクセス許可を指定でき、それらのユーザーのアクセス許可を容易に管理することができる
* グループとIAMユーザーの関係は多対多
* グループ同士はネストできない
* デフォルトのグループは存在しない（作成が必要）
* 1人のIAMユーザーが持てるグループの数、および1つのグループが持てるユーザーの数には制限がある

パスワードポリシーの設定

IAM ユーザー用のアカウントパスワードポリシーの設定
* パスワードの最小の長さを設定できる
* 大文字、小文字、数値、およびアルファベット以外の文字を含む特定の文字型を要求できる
* すべてのIAMユーザーが自分のパスワードを変更できるようにできる
* 期間を指定し、IAMユーザーにパスワードを変更するように要求できる
* IAMユーザーが（1~24回前までの）以前のパスワードを再利用できないようにできる
* IAMユーザーがパスワードの失効を許可したときに、アカウント管理者への連絡を強制できる