【AWS完全に理解したへの道】 S3 基本編
に続く、IAM 基本編(項目の然るべき順序的なものは後で整理するかも)
特徴
- AWS内のユーザ管理やAWSリソースに対するアクセス制御を行うためのもの。
- 仮にアクセス許可と拒否のIAMポリシーが相反する場合、拒否のIAMポリシーが優先される。
AWSサービスを操作する方法と認証情報
| 操作方法 | 認証情報 |
|---|---|
| Webブラウザ | ユーザ名/パスワード |
| AWS CLI(コマンド) | アクセスキー/シークレットアクセスキー |
| AWS SDK | アクセスキー/シークレットアクセスキー |
アクセスキーとシークレットアクセスキー
各IAMユーザはアクセスキーとシークレットアクセスキーのペアを作成・保持することができ、そのペアをAWS CLIやAWS SDKの認証情報として利用することができるが、認証情報を更新漏れや流出の危険性から非推奨となっている。
アクセスキーとシークレットアクセスキーを使用せずに推奨されること
IAMロールを利用することが推奨されている。
IAMロールは各種リソースに対するアクセス可否(IAMポリシー)を設定できる。
IAMロールはEC2インスタンスなどに割り当て可能で割り当てられたEC2インスタンス上のプログラムはIAMロールに許可されているAWSリソースにアクセス可能。
IDフェデレーション
AWSのSTS(Security Token Service)を使用して一時的に認証情報をユーザに付与する。そして、そのSTSとAWSのIDプロバイダーを利用して、AWS外の認証基盤で認証を通すことでIAMユーザに登録することなしに、一時的なリソースアクセスの権限を得ることができる。