#IAM用語集
##IAM
ロールと共にAPI KeyとMFAを管理できる。
タグを使用すればどのインスタンスが開発用途か、本番用途かといった切り分けが簡単にできる。そして、IAMポリシーを通してアクセスをコントロールできる。
##ルートユーザー
メアドとパスワードでログインできる
クレジットカード登録して作成したアカウント、フル権限、請求情報閲覧可能、パス変可能。フル権限の調整不可
日々の業務で使用しないことをAWSドキュメントで明記している
##IAMユーザー
ルートユーザーから個別に権限を付与され作成されたユーザーのこと
通常運用や開発はこのアカウントから行われる
ログイン方法がアクセスキー、パスワード、その両方、の中から選択できる。
アクセスの種類にはAWSマネジメントコンソールへのアクセスと、プログラムによるアクセスの選択チェックボックスがある。
##アクセスキー(認証情報)
アクセスキーID
シークレットアクセスキー
この情報があればどこからでもAWSにログインできる
##IAMグループ
IAMユーザーをひとまとめにしたもので、複数のユーザーに一度に権限付与できる位置付け
ユーザーは複数のグループに所属でき、グループ内にグループを作成することはできない
メリット・・・権限管理が楽になる
##IAM Policy
AWSで操作できる権限を表したもので実態はJSON形式で記述された設定ファイル
認証主体(identity)にアタッチして使用
AWSがあらかじめ用意したAWS管理ポリシーと、
AWS管理ポリシーより詳細を設定できるカスタマー管理ポリシーとある。
自分で直接JSONを記述できる
※ポリシージェネレーターを使用してGUIからカスタマー管理ポリシーを作成できる
###詳細
{
"Version": "20XX-XX-XX",
"Statement": [
{
"Sid": "ポリシー名", id
"Effect": "", 許可Allow拒否Deny
"Principal": "", ユーザーを指定したり
"Action": "", AWSで決められた書き方で何のサービスのどのような操作を
"Resource": "", どのリソースに対してのポリシーか指定
"Condition": {
"StringEquels": {
"aws:SourceIp": ""
}
}
}
]
}
ポリシーの要素には
Principal,Action,ResourceはNotを頭につけて指定の物以外という書き方もできる
アイデンティティベースのポリシー
IAMユーザーに対して設定する
リソースベースのポリシー
Amazonサービスに対して設定する
基本的にPrincipalは書かない。
→ポリシーをアタッチする対象が明確(ユーザー、ロール)だから
##IAMロール
複数のIAM ポリシーを複数アタッチして権限をひとまとめにしたもの
信頼関係
誰がこのロールにスイッチできるか(例: 同一アカウント内なら使っていいよ、管理者ユーザーから承認された人ならOKなど)
ポリシーをアタッチして使用
一時的な認証情報として使用
##AWS認定補足
リソース
IAMユーザー、IAMグループ、IAMロール、IAMポリシーのこと
アイデンティティ(ID)は
IAMユーザー、IAMグループ、IAMロール
プリンシパル
IAMユーザー、フェデレーションユーザー、IAMロール、AWSリソース
エンティティ
IAMユーザー、フェデレーションユーザー、IAMロール