前提
IAMについて勉強する過程で、色んな所で色んな単語が使われすぎててよくわからなくなってきたので頻出の用語をまとめました。
IAM関連の情報を理解する手助けになればという目的でざっくりまとめたので、それぞれの詳細や設定方法については各自調べてください。
基本
- IAMはAWS内において『誰がどのサービスに対して何ができるか』を設定するサービス
- このうち、『誰が』をIAMユーザで指定し、『どのサービスに対して何ができるか』をIAMポリシーで設定する(例外有り)
- IAMユーザとIAMポリシーはそれぞれ独立しており、両者を紐づける(「IAMユーザにIAMポリシーをアタッチする」と表現する)ことで各ユーザの権限を設定する
- 『誰が』の部分は人である必要はなく、AWSが提供するサービスや別のAWSアカウント等であってもかまわない。このような場合はIAMユーザではなくIAMロールという別の認証情報を使用する
- IAMユーザとIAMポリシーは一対一対応である必要はなく、1つのIAMユーザに複数のIAMポリシーがアタッチされることが多い。また複数のIAMユーザに同様のIAMポリシーをアタッチしたい場合も多く、このような場合ユーザとポリシーの管理が複雑になりやすい
- この複雑さを解消するために、両者の組み合わせをまとめるIAMグループという括りを利用することができる
(プリンシパル)エンティティ
IAM関連の情報内でこの言葉が使用される場合はIAMユーザ・IAMロール・IAMグループの総称。
IAMポリシーをアタッチする対象をまとめてこう言ってるんだな、と考えればOK
ユーザ・アカウント
-
- エンティティの一種で、AWSにおける利用者の認証に使用される情報の総称
- 基本的にすべての利用者は何らかのIAMユーザが割り当てられている
-
- AWSアカウント作成後最初にログインするユーザをルートユーザと呼ぶ
- 上記IAMユーザが割り振られない例外的存在
- ルートユーザは「なんのIAMユーザも付与されていない、あらゆる権限を持つ者」として振る舞うことができる
- ルートユーザの権限はあまりに大きいので、現在は最初のログイン時にのみルートユーザを使用し、以降は適切な権限を持ったIAMユーザを作成し、そちらを使用することが推奨されている
- 〇〇ユーザと呼ばれはするが、「ルートユーザという名前のIAMユーザがある」わけではないので注意
-
- IAM関連の文脈で使用される場合はルートユーザのこと
ポリシー
-
- AWSにおける権限をまとめたもの
- 「基本」も書いた通り、IAMポリシーは「どのサービスにおいて(どのリソースに対して)何ができるか」という「権限の集合」であり「誰が」の部分は定義されない。そのためIAMポリシーをエンティティにアタッチして初めて権限を付与できる
-
- IAMポリシーのうち、ユーザが作成するもの
- インラインポリシーと違い、アタッチ対象のエンティティから独立して存在できるポリシー
- 「カスタマー管理ポリシー」と「AWS管理ポリシー」をまとめて「管理ポリシー」と呼ぶこともある
-
- IAMポリシーのうち、AWSによってデフォルトで作成されているもの
- AWS管理ポリシーの内容をユーザが変更することはできない
-
- 「〇〇管理ポリシー」との対比で使用される単語
- エンティティに直接付与されるポリシーの総称
- 上の「基本」ではIAMポリシーとIAMユーザを紐づけることで権限の付与を行うと書いたが、その例外がインラインポリシー
- 実はエンティティを作成する際に、IAMポリシーを使わず直接エンティティに権限を付与することもできる
- このような場合に作成されるエンティティに固有な権限の集合をインラインポリシーと呼ぶ
- エンティティに直接付与されるポリシーなので、当然アタッチされたエンティティと一対一対応する
- 管理が複雑になるため通常は非推奨
-
- 「リソースベースのポリシー」との対比で使用される単語
- IAMユーザ・ロール・グループにアタッチする通常のIAMポリシーのこと
-
- 「アイデンティティーベースのポリシー」との対比で使用される単語
- IAMポリシーとしてではなくリソースに直接設定するポリシーのこと
- Lambda関数を動かす時なんかによく利用される
- リソースベースのポリシーは全てインラインポリシーである
-
- リソースベースのポリシーのうちLambda関数にアタッチされるもの
- リソースベースのポリシーが利用されるシーンの多くがlambda関数を動かす時なので、リソースベースポリシー全体を指す言葉としてこの言葉が使用されることもたまにある
-
- リソースベースのポリシーの一種で、S3(AWSのストレージサービス)へのアクセスを管理する際に使用する
-
- 「信頼関係」とも呼ばれる
- AWSにおけるクロスアカウントアクセス(あるアカウントから別アカウント内のリソースに対して閲覧・操作等ができるようにする)に使用する特殊なポリシー
- 他のAWSアカウントを便宜上一種の「リソース」とみなしてそのアカウントにIAMロールを設定し、そのIAMロールに対して信頼ポリシーを設定することで、別アカウントからのリソース操作を可能にする(あるアカウントから別のアカウント内のリソースに対して操作を行うとき、この「権限を与えられた操作主体」のことをプリンシパルと呼ぶ)
-
- 一時セッションに対して権限を付与するために使用されるポリシー
- セッションポリシーは単独で存在するポリシーではなく、既存のアイデンティティベース/リソースベースのポリシーに基づいて作成される
- セッションポリシーは既存のポリシーに追加で権限を加える機能はなく、制限する機能しか持たない
- つまりセッションポリシーは許可を付与するために使用するものではなく「既存のポリシーの権限の一部をセッションに許可するために、許可しない権限についてまとめたもの」
-
- 複数のAWSアカウントを跨いだ権限管理に使用するポリシー
- SCPのみで全ての権限を厳密に定義することはできない(例:サービスコントロールポリシーと個別のAWSアカウントの両方で許可されて初めてその権限が有効になる・個別のAWSアカウントのルートユーザの権限は制限できない)
-
- IAMポリシーのうち、ARN(Amazon Resource Nameの略、AWS内のリソースを一意に識別するために使用する)がついているもの
ロール
-
- エンティティの一種で、IAMポリシーをアタッチするリソースの認証に使用される情報の総称
-
- Lambda関数を実行する際に使用されるIAMロール。Lmabda実行ロールと呼ばれることもある
-
- AmazonECSにおいて、コンテナエージェントに対して付与されるIAMロール。タスク実行ロールと呼ばれることもある。
グループ
-
IAMグループ
- エンティティの一種で、複数のIAMユーザとIAMポリシーをまとめたもの
- 大規模な組織でAWSを利用していると、IAM情報の管理が複雑化してくる。これを解消するために用意されているのがIAMグループ
- チーム・部門ごとにIAMグループを作成した後、そのグループに対して複数のIAMポリシーとIAMユーザ(IAMロール)をアタッチすることで複数のIAM情報を一元的に管理できる
上記リンク以外で参考にさせていただいたページ