勉強前イメージ
人観点でのIAM?
調査
アイデンティティベースポリシー
誰がどのリソースに対してどんなアクションを実行できるか を指定できます。
こちら で設定しているのは
アイデンティティベースポリシーになります。
リソースベースポリシー
アイデンティティベースポリシーに対して リソースベースポリシーというのもあります。
これは、 このリソースは誰がどんなアクションが実行できるか というのを指定できます。
だれがアクションを実行できるかのポリシーを作って、リソースにアタッチします。
違い
アイデンティティベースポリシーとリソースベースポリシーにいろいろ違いがあるので、確認していきます。
ポリシーを何に紐付けるか
-
アイデンティティベース
- グループ
- ロール
- ユーザ
-
リソースベースポリシー
- サービス
- s3,SQS等一部
- サービス
アクセスの許可を何に付与するか
-
アイデンティティベース
- グループ
- ロール
- ユーザ
-
リソースベースポリシー
- 自分のアカウント
- 他のアカウントユーザ、アプリケーション
アイデンティティベースポリシーはアタッチしたユーザにアクセス権限が付与されますが、
リソースベースポリシーはプリンシパル(自分のアカウント,他のアカウントのユーザorアプリケーション)が付与先になります
作成方法
リソースベースポリシーはインラインポリシーのみの作成方法になります。
勉強後イメージ
とりあえず人にアクセス許可を与えてるいつものやつはアイデンティティベースってことかな。
リソースベースはあまりピンとこないけど、s3とかSQSにアタッチして誰にアクセスさせるかってことを許可させるものかなって感じ