![[AWS]セキュリティとアイデンティティについてまとめてみた](https://web-iot.net/wp-content/uploads/2022/03/aws_logo_smile_1200x630-320x180.png){kind=logo}
概要
AWSのアカウントの種類
- 2種類ある
- AWSアカウント(ルートユーザ)
- IAMユーザ
- AWS IAM(Identity xxx management)を通して、権限を限定したユーザ
IAM
- IAMグループ
- IAMユーザ
- IAMポリシー
- 「EC2にインスタンスを立ち上げできる」とか「EC2のインスタンスを停止できない」とか
- IAMポリシー
- IAMユーザ
- IAMポリシー
- Action: どのサービスの
- Resource: どういう範囲を
- Effect: 拒否・許可
- インラインポリシーとマネージドポリシー
- マネージドポリシー
- AWS管理ポリシー
- 例:「Administarator」「PowerUser」
- カスタマー管理ポリシー
- AWS管理ポリシー
- IAMロール
- 一時的にAWSリソースへのアクセス権限を付与する際に利用するもの
- ちょっといい方を変えて説明してみる
- IAMというサービスでユーザが作成できる
- 作成したユーザに権限を設定できる
- 権限は、「許可」と「拒否」の2種類ある
- 権限は1ユーザに複数設定できる
- IAMで作成したユーザを「IAMユーザ」と呼ぶ
- 権限を「ポリシー」と呼ぶ
- 複数のユーザにまとめてポリシーをセットする場合には、「IAMグループ」を使う
- AWS管理のマネージドポリシーを利用すると、一切権限定義をせずに、いい感じの権限がセットできる
- 例えば
- 「Administarator」:何でもできる
- 「PowerUser」:何でもできるけど、ユーザだけイジれない
- 例えば
- マネージドポリシーを元に、独自のポリシーを用意することもできる
- 例えば、「Adminnistrator」で開発を進めていって、途中で明らかにいらない権限をコツコツ剥奪していく
- 完全に独自でポリシーをインラインポリシーで作り込んでいくこともできる
- 一時的にだけ権限がほしい場合には、ロールを割り当てる。
