参考図書
AWS IAMとはIdentity and Access Managementの略でAWSにおける認証機能。
つまり、IDとアクセスの管理。
AWSアカウントは契約を管理するのもので別。
人に対して与えるIAMをIAMユーザー。サービスやプログラムなどに当てるものをIAMロールという。
IAMはMultiFactor Authencation(他要素認証)を使用したほうがよい。
IAMとIAMポリシー
AWSでは複数のEC2インスタンスやS3バケットを使うケースがある。そのひとつひとつのサービスに対してメンバーひとりひとりに権限を設定していくのは大変。IAMグループとして、グループ化できる。
IAMポリシーは、実行者(ユーザー、ロール、グループ)が、どのサービスにアクセスできるのかを設定する機能。実行者が何をできるのかを個別に設定するのではなく、ポリシーを適応するかたちで設定する。
そのため、権限の設定を変えたい場合、ポリシーを変更、付け替えするだけで結びつくユーザーやロールの設定を変更できる。
IAMポリシーで設定できること
何に対して、どのような操作を許可するかしないかを設定できる。
実行者(ユーザー、ロール、グループ)が何をできるか、も設定できるし、操作される側(サーバーやフォルダなど)に対して何を許可できるかの設定もできる。
前者をアイデンティティのポリシー、後者をリソースベースのポリシーという。
IAMポリシーはオリジナルでも設定できるが、設定する項目が多くミスが発生しやすい。
なのでAWS管理ポリシーに容易されているものを使うほうが多い。