[AWS]セキュリティとアイデンティティについてまとめてみた

概要

AWSのアカウントの種類

  • 2種類ある
    • AWSアカウント(ルートユーザ)
    • IAMユーザ
      • AWS IAM(Identity xxx management)を通して、権限を限定したユーザ

IAM

  • IAMグループ
    • IAMユーザ
      • IAMポリシー
        • 「EC2にインスタンスを立ち上げできる」とか「EC2のインスタンスを停止できない」とか
  • IAMポリシー
    • Action: どのサービスの
    • Resource: どういう範囲を
    • Effect: 拒否・許可
  • インラインポリシーとマネージドポリシー
  • マネージドポリシー
    • AWS管理ポリシー
      • 例:「Administarator」「PowerUser」
    • カスタマー管理ポリシー
  • IAMロール
    • 一時的にAWSリソースへのアクセス権限を付与する際に利用するもの
  • ちょっといい方を変えて説明してみる
    • IAMというサービスでユーザが作成できる
    • 作成したユーザに権限を設定できる
    • 権限は、「許可」と「拒否」の2種類ある
    • 権限は1ユーザに複数設定できる
    • IAMで作成したユーザを「IAMユーザ」と呼ぶ
    • 権限を「ポリシー」と呼ぶ
    • 複数のユーザにまとめてポリシーをセットする場合には、「IAMグループ」を使う
    • AWS管理のマネージドポリシーを利用すると、一切権限定義をせずに、いい感じの権限がセットできる
      • 例えば
        • 「Administarator」:何でもできる
        • 「PowerUser」:何でもできるけど、ユーザだけイジれない
    • マネージドポリシーを元に、独自のポリシーを用意することもできる
      • 例えば、「Adminnistrator」で開発を進めていって、途中で明らかにいらない権限をコツコツ剥奪していく
    • 完全に独自でポリシーをインラインポリシーで作り込んでいくこともできる
    • 一時的にだけ権限がほしい場合には、ロールを割り当てる。

コメントする

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です