はじめに

先日開催された技術書展7で発売された「AWS IAMのマニアックな話」(IAM本)を購入して読み進めています。
本の中身に関しては読了してから勉強記事としてまとめようと思いますが、その前にIAM本をオススメしたくこの記事を書いています。

本の詳細

著者

佐々木拓郎さん
(Amazon Web Services パターン別構築・運用ガイドの筆者でもあります。)

購入サイト

ダウンロード版をBoothで購入することができます。
->【ダウンロード版】AWSの薄い本　IAMのマニアックな話

はじめに
第1章：AWSとIAM 　
第2章：IAMの機能 　
第3章：IAMチュートリアル
第4章：IAMポリシーのデザインパターン
第5章：IAMグループのデザインパターン 
第6章：IAMとセキュリティ 
第7章：IAMの運用 　
第8章：IAMとCloudFormation 
第9章：IAMのテンプレート集 　
第10章：IAM以外のAWS サービスの活用 　
付録A：アカウント開設時の設定チェックリスト

第1〜3章では、ユーザー、ロール、ポリシーなどの基本用語を説明した上でIAMのチュートリアル(ポリシーの作成、グループとポリシーの紐付け etc.)を行います。

第4〜6章では、IAMポリシー、IAMグループのデザインパターンなどIAMを実際に設計する際に利用可能なパターンやTips集がまとめられており、より実務的な内容になっています。

第7〜8章では、運用設計の概要やCloudFormationの活用といったIAMの運用管理の観点でのベストプラクティスがまとめられています。

本の内容について

当記事の筆者はIAM初心者で、具体的には下記のようなレベル感です。

ユーザー、ロール、グループなどのIAM関連の用語の意味は理解している
IAM周りの設計は未経験 (設計の勘所なども明確に理解していない)

上記のような人間が、IAM本をある程度読んだ上で本の内容と感想を簡単に紹介します。

基礎レベルの内容

第3章のIAMのチュートリアルでは、ポリシー作成からユーザーにIPアドレス制限付きの権限を付与するまでが順序立てて説明されています。
そのため、IAMポリシーやグループ、ロール自体の理解やそれらの関係性をきちんと理解するには、特に第3章の内容が役に立ちます。
各用語の説明も簡潔に記載されており、最初の理解の段階でつまづきにくいように書かれていると感じました。

また、第3章までの内容にも少し応用的・実践的な内容も含まれているので、基礎を理解している人は応用部分を掻い摘んで読むくらいでも十分だと思います。

管理ポリシーとインラインポリシーの違い
クロスアカウントロールについて
AWS管理ポリシー・カスタマー管理ポリシーの使い分け

実践的な内容

第4〜8章までは実践的な内容が続きますが、個人的にこの部分が最も勉強になりました。
IAMの基礎部分を理解した上で、設計時には考慮すべき部分がいくつか出てきます。

ブラックリスト形式・ホワイトリスト形式のどちらでポリシーを書くべきか？
各ポリシーはどのくらいの粒度でまとめるのが望ましいか？
IAMポリシーではなくサービス自体のセキュリティ機能にどこまで任せるか？ etc...

このような設計時の考慮点は、「状況に応じて正解が変わる」ことがほとんどです。
そのため、パターンとユースケースを紐付けて理解することが求められます。

ポリシーの書き方のパターン (ブラックリスト形式) を例に挙げると、IAM本の中では下記のようにまとめられています。

ブラックリスト・パターンの説明
ブラックリスト・パターンのメリット
ブラックリスト・パターンのデメリット
ブラックリスト・パターンのユースケース

パターンの説明に加えて、Pros & Consと利用されるユースケースが記載されています。
パターン自体の理解に加えて、パターンの選択基準も理解できるような構成になっています。

終わりに

勉強の足がかりとなる一冊としてはぴったりだと思います。
これからも、IAM周りを勉強していきたいと思います。(まずはIAM本の読書メモをQiitaにあげるところから...)

「AWS IAMのマニアックな話」は「IAM初心者」にこそちょうどいい