AWS
IAM

AWS IAM勉強まとめ

・Identity and Access Management
AWS操作をセキュアに行うための認証・認可・アクセスポリシーの仕組み

「IAM ユーザー」単位に発行できるアクセスキーは最大2個
3個目を発行しようとすると "Cannot exceed quota for AccessKeysPerUser: 2" とエラーになる

・ユーザ
5000ユーザまで作成可能

・グループ
100グループまで作成可能

・MFA(Multi-Factor Authentication)
多要素認証

・ルートアカウントは極力利用しない

Credential Report
認証情報のレポート

・パスワードローテーション
パスワードの有効期限設定可能

管理ポリシー
独立したポリシー。AWS管理ポリシーカスタマー管理ポリシーが存在
→再利用可能。変更管理の一元化。複数のIAMエンティティにアタッチあk脳

インラインポリシー
従来のIAMポリシー。1つのポリシーを共有できない

・デフォルトdeny

・ポリシーはユーザーベースとリソースベースで設定可能
特定のIPからのみ接続可能のような設定も可能

・CloudTrailでユーザのアクティビティのログ収集。S3上に保管

・最小限の特権。Service Ladr Accessed Data
未使用または最近使われてないユーザとサービスを特定。グループに分ける

・IAMロール
サービスやアプリケーションなどのエンティティに操作権限を付与
ユーザやグループに紐付かない
認証情報は自動的にローテーション
認証情報はSTSで作成
→EC2に認証情報がないため、安全
SDK, CLIに対応

・AWSアカウント: ドアキー
IAMユーザ: 従業員カード
Temporary Security Credential, IAM Role: ホテルキー

・クロスアカウントアクセス

・ID連携
LDAP認証したユーザにはS3権限を与えるなど。
ユーザにはTemporaryキーを与える
SAML2.0(Security Assertion Markup Language)と互換性

・SAML認証
ユーザ→Idpに認証情報リクエスト→認証情報受け取り→AWS STS(Security Token Service)に問い合わせ→一時的な認証情報受け取り→AWSサービスにアクセス

・SSOエンドポイントを利用
サインインURLをクライアントに返答
→クライアントはリダイレクトでコンソールにアクセス
コンソールが使用できる時間や時間帯を制御可能

・既存のIdpを利用
IdpとSTSで通信。ユーザはコンソールへリダイレクトできる

・ルートアカウントは使用しない
・個々のIAMユーザ作成
・ユーザへのアクセスはグループ
・最小限の特権
・強度の高いパスワードポリシー
・特権ユーザにはMFA
・認証情報を共有せず、ロールを使用
・監視も大事に

参考URL:
https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-aws-identity-and-access-management-aws-iam