勉強前イメージ
管理ポリシーはAWSが管理しているポリシー?みたいな感じするよね、名前的に
調査
そもそもIAMとは?
Identity and Access Management の略で、AWSのサービス。
ユーザを作ったり、そのユーザに対してサービスへのアクセス等の制御を行うことができます。
以下簡単に言葉を紹介します。
-
人に対するもの
- IAMユーザ : AWSアカウントに対してユーザを作成
- IAMグループ : ユーザのかたまりをグループとする(開発部とかの単位で区切ることができる)
-
権限に関するもの
- IAMポリシー : 「s3へのアップロードのみの権限」や、「EC2の閲覧のみの権限」など各サービスへの制御を行う
- IAMロール : ポリシーを固めたもので、例えば「s3へのアップロードのみとEC2の閲覧のみ」の権限をまとめてデプロイ用権限とか作ることができる
詳細は こちら を見ていただけますと
図付きでもう少し詳細に載っています。
管理ポリシー と インラインポリシー
ここでは管理ポリシーと記載していますが詳細には、以下の3つ?4つ?に別れます。
- インラインポリシー
- 管理ポリシー
- AWS管理ポリシー
- カスタマー管理ポリシー
それぞれ詳細書いていきます。
インラインポリシー と 管理ポリシー
- インラインポリシー
インラインポリシーとはIAMユーザやIAMグループに直接ポリシーを組み込む方式です。
マネジメントコンソールでは以下のように設定できます。
図にすると以下のように権限を直接アタッチしているイメージです。
実際は、ポリシーを作ってそれをユーザにアタッチしてるのですが、 他のユーザやグループに使い回せない のが特徴です。
- 管理ポリシー
管理ポリシーとはインラインポリシーとは違い、 他のユーザやグループに使い回せる ポリシーです。
AWSのコンソールでは以下のように確認できます。
また、イメージとしては以下になります。
ポリシーとユーザにアタッチできるのは一緒ですが、他のユーザに使い回せるのが特徴です。
AWS管理ポリシー と カスタマー管理ポリシー
↑で、他のユーザやグループに使い回せるのが管理ポリシーと言いました。
その管理ポリシーの中にもAWS管理ポリシーとカスタマー管理ポリシーがあります。
- AWS管理ポリシー
AWS管理ポリシーは、一般的に使うことあるだろうなとAWSがデフォルトで作ってくれているポリシーです。
マネジメントコンソールからは以下のように見えます。
s3のフルアクセスの権限だったりEC2の部分的な権限だったり、基本的なポリシーは揃っています。
- カスタマー管理ポリシー
カスタマー管理ポリシーは、ユーザが独自で作ったポリシーです。
細かい制御をしたいときに↑のAWS管理ポリシーにない時は自分で作ります、その作ったポリシーとをカスタマー管理ポリシーといいます。
マネジメントコンソールでは以下のように見えます。
勉強後イメージ
cloudformation書いてたときにIAMがインラインポリシーになってこれなに?ってなったやつ。
理解できた。