勉強前イメージ
アカウントの管理のイメージ
触れるサービスを制御したりできる
調査
IAM とは
Identity and Access Management の略で
AWSアカウントに対してユーザを作成したり、そのユーザに対してリソースへのアクセス制御を行うことができるサービス
グループ・ユーザ・ロールの作成ができ、またグループやユーザごとに制御を行うことが出来ます。
そもそもAWSアカウントってどういう感じ?
そもそもAWSのアカウントは2種類あります。
- ルートユーザ
- IAMユーザ
ルートユーザ はlinuxでいうとrootユーザ(管理者)のイメージ
IAMユーザ はlinuxでいうとuseraddコマンドで作成する、adminユーザなどのイメージです。
図解すると以下のイメージです
※ルートアカウントは利用しない
アカウントを取得した際の最初のログインがルートユーザのログインですが、
このアカウントは上記でも記載したとおり、linuxのrootユーザ(管理者)のイメージです。
アカウントのすべてのリソースに対してフルアクセス権限がありますので、
リソースを使用する際は、基本的にはIAMユーザを作成して最小の権限で行います。
IAMでのログイン方法
以下からログインすることが出来ます。
https://[アカウントID].signin.aws.amazon.com/console
文言の確認
IAMユーザ
まずIAMユーザについて。
IAMユーザは個人で利用するアカウントに相当します。
IAMユーザのユーザ名は個人の名前で有ることが多く、下記のイメージで作成されます
IAMグループ
IAMグループはIAMユーザをまとめて管理するグループになります。
運用チームグループや、開発チームグループなどで作成することが出来ます。
IAMポリシー
IAMポリシーはAWSリソースにアクセスするための権限設定のことで、
s3やEC2、他のAWSリソースに対する権限などを設定します。
以下のように、
開発チームのIAMグループにはs3,EC2,ACMの権限を許可するが、
運用チームのIAMグループにはs3の権限のみ許可する という設定ができます。
IAMロール
IAMロールはIAMポリシーをグループ化したものです。
例えば
以下のように開発用ポリシーをグループ化して、ロールにすることでセットで適応することが出来ます
勉強後イメージ
ふわっとわかってたけど、ちゃんと調べることで合ってたってことがわかった。
設定したこともあるし触り方とかもイメージ分かるけど、
正しく区切ってIAMは出来てないかもしれないから今度はコンソール上で確認したい