IAMだとか認証とか認可だとか、アプリエンジニアでもインフラエンジニアでもなんとなく覚えてることだと思うの。
さて、みなさん 認証ってなに? 認可ってなに? この記事を読んだら、まず得意げになっても間違いではないです。 この二つなんとなくで合間にしてるのをはっきり理解させましょう。
ECサイトのトップページがあるとします。
このサイトでログインすると、特別な先行予約商品が表示されるサービスがあるとします。
このとき、認証と認可ってどこのこというの?ってクイズです
その程で、まずログインのページに行ってあらかじめ登録しておいたIDとパスワードでログインします。ログインすると、トップページから特別サイトページへ遷移しますが、このときログインでは認証と認可が一気にされるからなんか上手く説明できないんですね。
認証
あなたが 「おーつき」である「証」を獲得すること。
ログインでは、ユーザ「おーつき」であることとトークン(顔パス証)をもらえると思ってください。
例:ログインのIDとパスワードを入力して、ログインのロジックがうごくと内部にあるデータベースなどにその二つの値が事前に登録され認められている状態のため、あなたを認めます。 ということです。 その認められる証を(トークンなどでもっておいて次回以降は、証を通過する時に見せれば顔パスだぜって状態になります)
認可
あなたがもっている「証」が確認できたら、そこでやっていいこうと「許可」されることを承認されること。
証は許可書として(トークンと引き換えに確認されます)
ログインでは、認証されたら認可として次のページ特別サイトページへ移動できた、この状態を認可されたこととなります。
例:このとき特別サイトでも認可の確認がされており「おーつき」であるユーザのもつ許可証に特別サイトページへ入ることが「可能・了承」されたということになります。
※色々面倒むずいことは、省略します。 まずみなさまの一歩目を目指しましょう。
ここからは まずIAMとか認証認可というものを使っていくにあたって
覚えておいたらいい単語を まず黄色10個単語だけ覚えて帰ってください。他はいろいろとまた出てきますが、ここまでわかってしまえばあとは楽勝です。
(おーつき次にハマったのは、Organization,IAM IdentityCenter,ControllTower あたりに入ってからです)
まとめ
-
IAMはRoleでできてて、RoleはPolicyでできてる。
-
IAM は プロファイルとドキュメントロールってのがある。
-
IAM があることによってAWSへのリソースの制御(制御はリソース自体の操作とリソースへのデータアクセスの2つがあります)
-
STSっていう、一時的にRoleを利用したトークンがある。これをつかうと一時的に対象のリソースへのアクセスをきょかしてもらえるので、SecretTokenとかいらない。すごいサービスなのに「裏方AWSサービス」である
色々と学んだと思いますが、ここで最後に おすすめの本を紹介します。使い始め設計すると色々なことで悩んだり・「基本の最低限ってなんだろう」を考えたり相談したくなることがあります。
そんなときに見つけた「IAM の薄い本」、この薄い本にちゃんとした使いこなしのことがしっかり書いてあり、 ユーザアカウントをグループや会社で配布するとか設計はどうすればいい。どういうサービスの時はこういう設定をしておくとよい というケースが含まれ説明されています。薄いからこそ読める本。内容が濃いのでがっつり学べます。
「佐々木拓郎さん」にJAWSとかいってであったらサインしてもらう!を目標に頑張ってみるのも学ぶパッションになると思います。