Go to Qiita Advent Calendar 2024 Top
LoginSignup
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@mochiooooo(Mochi)

【AWS】IAMについて理解を深めるためのハンズオン②

Last updated at Posted at 2021-02-03

前回の記事の続きです。

AWSのIAMについて理解を深めるためのハンズオン①

クラスメソッドさんの以下のブログに沿って、
架空の会社でAWSを使用することを想定し、
IAMのベストプラクティスを引き続き実装していきます。

AWS を安全に使うために(IAM のベストプラクティス)

前回は各部署の部長を作成するところまで出来たので、
今回は各部署の部員の設定をしてきます。

営業部社員のユーザー作成

ユーザー作成

今までと同様に、IAMのユーザーから「ユーザーを追加」をクリックします。

image.png

アクセスの権限は「AWSマネジメントコンソールへのアクセス」のみを選択し、
「プログラムによるアクセス」は選択しないでおきます。

image.png

権限の定義

営業部社員のユーザーを作成するにあたって、何の権限が必要かを考える必要があります。

今回のシナリオでは、以下の権限を設定します。

・EC2 インスタンスを立ち上げたり、設定を変更するといった作業はしない
・何かあった時に AWS リソースの状況が見たい
・プログラムを使わないのでアクセスキーは不要

AWSリソースが確認できれば良いということがわかりました。

この条件をカバーできるポリシー「ReadOnlyPolicy」がデフォルトで存在するので、
そちらを適用することとします。

なお、ポリシーは営業部社員用のIAMグループを作成して適用します。

image.png
※「ReadOnlyAccess」で検索すると、1番下の方に出てきます。

タグの作成

部長の時と同様に、役職のタグを付与します。

image.png

「ユーザーの作成」をクリックし、作成完了になります。

image.png

作成されたユーザーのパスワード情報を控えて、各ユーザーへ送付しましょう。

ちなみに、適用されたポリシーは「▲」ボタンを押すと確認できます。

image.png

複数のユーザーに同様のポリシーが適用されているのがわかります。

ユーザー作成完了後、MFA認証を設定しましょう。(説明割愛)

開発部社員のユーザー作成

ユーザー作成

必要な人数分のユーザーを追加していきます。

image.png

権限の定義

営業部員と同様に、グループを作成してユーザー作成をします。
また、今回のシナリオでは開発部員には以下の権限を付与することとします。

・各種 AWS リソースの設定変更作業がある
・IAM の管理権限は与えない(必要な場合は部長に依頼)
・自分のPCから aws-cli を使って AWS リソースを管理する
・会社からしかアクセスできないようにする

この条件をカバーできるポリシー「PwerUserAccess」がデフォルトで存在するので、
そちらを適用することとします。

image.png

タグの作成

これまでと同様に、役職のタグを付与します。

image.png

「ユーザーの作成」をクリックし、作成完了です。

image.png

ユーザー作成完了後、MFA認証(以下省略)

アクセスキーの発行

今回の権限要件である「自分のPCから aws-cli を使って AWS リソースを管理する」という条件を満たすために、アクセスキーを発行する必要があります。

このアクセスキーはローカルPC上に保存するため、同じものを使い続けるのはセキュリティ的によくありません。
そのため、定期的に更新することが推奨されます。

IAMの「ユーザー」から、アクセスキーを発行するユーザーを選択します。

image.png

認証情報タブを選択し、「アクセスキーの作成」をクリックします。

image.png

作成が完了すると、以下のポップアップ画面が出てきます。

image.png

アクセスキーの表示は、このポップアップ画面が最初で最後です。
必ずどこかに情報を控えておきましょう。
CSVファイルをダウンロードして、安全な場所に保管しておくのが良いでしょう。

万が一アクセスキーを忘れてしまった場合は、再発行する必要があります。

オリジナルポリシーの作成

開発部員に割り当てる権限の要件の中に、「会社からしかアクセスできないようにする」というものがありました。

こちらを実装するには、オリジナルのポリシーを作成し、JSONファイルの中にConditionエレメントの追加をする必要があります。

ポリシー作成

IAMのポリシーから、「ポリシーの作成」を選択します。

image.png

JSONを選択し、社内のIPアドレス以外からのAWSアクセスを禁止するポリシーを記述します。

image.png

ポリシーに適当な名前と説明をつけて、作成します。

image.png

グループへポリシーをアタッチ

ポリシーの作成が完了したら、IAMから「グループ」をクリックし、
適用するグループを選択します。

image.png

ポリシーのアタッチをクリックします。

image.png

検索欄に先ほど作成したポリシー名を入力し、ポリシーを選択します。

image.png

ポリシーが正常にアタッチされたことを確認します。

image.png

以上で追加のポリシー設定は完了です。

各部署の設定が完了したので、次回は外注先の設定をしていきます。

次回

AWSのIAMについて理解を深めるためのハンズオン②

参考

AWS を安全に使うために(IAM のベストプラクティス)

【AWS】IAM ユーザーに IP 制限

AWSのIAMについて理解を深めるためのハンズオンシリーズ

[AWSのIAMについて理解を深めるためのハンズオン①]( https://qiita.com/ymochi_camera/items/bdaec3d0f3cfa60e7b0d)

AWSのIAMについて理解を深めるためのハンズオン②

AWSのIAMについて理解を深めるためのハンズオン③

この記事はAWS初学者を導く体系的な動画学習サービス
「AWS CloudTech」の課題カリキュラムで作成しました。
https://aws-cloud-tech.com

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?