IAMの概要
- IAMは、Identity and Access Managementの略。
- ユーザーを管理するサービス。
- 特に複数人で開発・運用を行う際に、各ユーザーのアクセス権限(後述)を定めるために使用。
- グローバルサービスのため、リージョンの指定の必要なし。
- デフォルトで作成されるRootアカウント(ルートユーザー)は、運用ではできるだけ使用せず、アカウントの共有も避けるべき。
ユーザーとグループ (Users & User Groups)
-
ユーザー
- AWSで開発や運用を行うひとつの組織において、AWSを使用できる1ユーザーのこと。
- 各々にユーザーネームとパスワードの設定をする。
- アクセス権限を設定できる。
-
グループ
- 複数のユーザーに同一のアクセス権限を定義するためグループのこと。
- 1ユーザーが複数のグループに所属することも可能。
アクセス権限(Permissions)
-
ユーザーまたはユーザーグループに割り当てられる権限。
-
データの「作成」はできるけど「削除」はできませんよ、といったように可能な操作が決定される。
-
AWSのUIを用いるか、JSONで定義可。
例えば、AWSがデフォルトで用意してくれている「AdministratorAccess」という権限は、以下のようになっている。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] } -
AWSではグッドプラクティス(GP)として、そのユーザーが最低限必要な権限のみを与える、ということが推奨されている。