AWS公式資料で挑むSCS認定(5)-IAM

Last updated at 2022-03-25Posted at 2022-02-23

[前回] AWS公式資料で挑むSCS認定(4)-サービス勉強順

はじめに

前回は、SCS認定対象となるサービス群の勉強順を決めました。
早速、AWSセキュリティの中核で、超重要なIAMです。

IAMの登場人物

押さえておくべき概念と用語

IAMアイデンティティ(ID)

IAMユーザー
- 特定のユーザーにアクセス権限付与できる
IAMグループ
- 複数ユーザーを束ねて同じアクセス権限を付与でき便利
IAMロール
- 一時アクセス権をユーザー・アプリ・サービスに付与する
- AWSではIAMロールをスイカ(?)ヘルメットで表していた
- 自己解釈: 一般人でもこのヘルメットかぶせたら一時的に秘密基地に入れる、出たら即外されまた一般人
  - ※特記事項: この魔法のヘルメットは、アプリやEC2インスタンスにもかぶせられる

IAMリソース

ユーザーが使用・操作できるすべてのエンティティ、例

Amazon EC2 インスタンス
VPC エンドポイント
Amazon S3 バケット
パーミッション(権限の実態もオブジェクトなので、リソースの一種か)

アクション

リソースへの操作、例

CreateUser
RunInstances
CreateBucket

認証

認証方法

パスワード
- ユーザーに付与
- AWS Management Consoleへのログインに利用
アクセスキー
- ユーザーに付与
- アプリAPIのアクセス認証で使用
- 1アカウントにつき二つまで
一時認証トークン
- 有効期限付きのアクセスキーID/シークレットアクセスキー/セキュリティトークンで構成
- AWS Security Token Service(AWS STS)により動的生成
- IAMロールが使う
- これを使って権限委任できる
多要素認証(MFA)
- 特権ユーザーに設定
- 認証強化のため

認可

ユーザーがリソースに対し、どんな権限を持ち、どんなアクションできるか。
ポリシーにIDとリソースの関連付けを記述することで、アクセス許可を定義。

ポリシーの種類です。定義主体がIDかリソースかなどによって、

IDベースポリシー
- 管理ポリシー
  - 複数IAMユーザー、グループ、ロールに関連付け可能(最大10個)
    - AWS管理ポリシー(AWSにより事前定義)
    - カスタマー管理ポリシー
- インラインポリシー
  - 単一IAMユーザー、グループ、ロールに直接埋め込む
リソースベースポリシー
- インラインポリシーのみ
その他ポリシー
- パーミッションバウンダリー
  - AWS IAMアクセス許可の境界
    - IAMユーザーとロールの範囲を限定し、権限の昇格を防ぐ
  - AWS Organizationsサービスコントロールポリシー (SCP)
    - 組織のアクセス許可の管理に使用できる組織ポリシーの一種
- アクセスコントロールポリシー (ACL)
  - リソースへのアクセス可否設定リスト
    - Amazon S3のバケットのACL
    - Amazon VPCのサブネットのACL

プリンシパル

AWSリソースに対しアクションをリクエストできるユーザーまたはアプリケーション。
プリンシパルは、AWSアカウントのルートユーザーまたはIAM エンティティとして認証される必要がある。

IAMエンティティ

認証に使用されるリソースオブジェクト全般。
IAMユーザー、IAMロール、アプリも含まれる。

Amazonリソースネーム (ARN)

AWSリソースを一意に識別するための表記。
ARN形式例:

arn:partition:service:region:account-id:resource-id
arn:partition:service:region:account-id:resource-type/resource-id
arn:partition:service:region:account-id:resource-type:resource-id