勉強前イメージ
正直良くわからん・・・
調査
IAMとポリシーについて
Identity and Access Management の略で、AWSのサービス。
ユーザを作ったり、そのユーザに対してサービスへのアクセス等の制御を行うことができます。
そしてポリシーとはユーザに対して「s3へのアップロードのみの権限」や、「EC2の閲覧のみの権限」など各サービスへの制御を行うものを指します。
今回そこに「ジョブ機能」というのがあったので調べてみました。
ちなみにマネジメントコンソールだとIAMのポリシーの以下になります。
ジョブ機能 とは
職務機能のAWS管理ポリシーと呼ばれていて、AWS管理ポリシーの一部です。
AWS管理ポリシーとは基本的にs3やEC2といったサービス単位の権限として作られていますが、
職務機能のジョブ機能ポリシーというのは利用する人の役割を考えて作られています。
どういうことかというと、そもそもAWSアカウントの管理者だったり料金だけ確認する人だったり、ガリガリネットワーク触る人だったり
アクセスする人は様々な役割を持っています。
その役割をAWSが想定して、「こういう人ならこのポリシーをアタッチするだけで安全に簡単にセキュリティを守れるよ」というポリシーをデフォルトで作ってくれているのがこちらのジョブ機能です。
想定されている役割は以下の10個です。
- SupportUser : サポート用ユーザ
- ViewOnlyAccess : 閲覧専用ユーザ
- Billing : 請求関連(請求情報の確認、支払いの設定、AWSのサービスコスト等)の確認するユーザ
- DatabaseAdministrator : データベース管理者
- SystemAdministrator : システムのセットアップやメンテナンスを行う管理者
- AdministratorAccess : 管理者(フルアクセス)
- SecurityAudit : セキュリティ監査用(セキュリティ要件のモニタリング等)ユーザ
- DataScientist : EMR等のデータ分析を行うユーザ
- NetworkAdministrator : ネットワーク管理者
- PowerUserAccess : アプリケーションのタスクの実行などのユーザ
また、以下のように1年程度でポリシーのメンテナンスがされバージョンアップされます。
変更がかかった際には確認しておいたほうが良さそうですね。
まとめ
まとめると以下です。
AWS管理ポリシーの一部の役割別のポリシーと覚えておいていただけるといいかなと思います。
- アイデンティティベース
- インラインポリシー
- 管理ポリシー
- AWS管理ポリシー
- ジョブ機能(職務機能) ← 今日のはコレ!!!!
- その他のサービス単位のポリシー
- カスタマー管理ポリシー
- AWS管理ポリシー
勉強後イメージ
役割別ってのもあったのか・・・
それに会社の権限とかもろもろがぴったしハマったらよさげ?