S3
オブジェクトストレージのAWSリソース
バケット
オブジェクトの保存場所
オブジェクト
バケットの中にあるデータ本体
メタデータ
オブジェクトにまつわるデータの情報
バケットポリシー・ACL
バケットポリシー:S3バケットへのアクセス権限設定
ACL:バケット・オブジェクト単位でのアクセス権限設定
ブロックパブリックアクセス
バケット・オブジェクト単位で意図せず外部公開出来ないようにする設定
IAM
AWSリソースに対する操作を認証認可によってユーザ単位で制御する仕組み
IAMユーザ
AWSの利用者・アプリケーションがAWSリソースの操作を行うために使用するもの
認証
- ユーザ名 + パスワード
- アクセスキー
IAMグループ
IAMユーザをまとめたグループ
グループでユーザに対する権限の一括管理を行える
IAMポリシー
JSON形式で書かれたAWSリソースへの権限設定
管理ポリシー:IAMユーザ・IAMグループにアタッチして使う
インラインポリシー:IAMユーザ・IAMグループに埋め込んで使う
明示的な拒否 > 明示的な許可 という順で評価される
IAMポリシーの書き方
Effect:許可→Allow、拒否→Deny
Action:AWS操作を指定
Resource:AWSリソースを指定
Conditon:有効になる条件を指定
IAMロール
AWSリソースに対して他のAWSリソースへの操作権限を付与する仕組み
例)EC2からS3を使う
EC2にアクセスキーを持たせてS3にアクセスするのに比べて安全性が高い