TxKxZxWx's blog

AWS SAA、Javaの学習

AWS SAA取得に向けて 3日目 「IAM」

セクション4:IAM

 

レクチャーで学ぶ内容。

  • IAMの概要
    → IAMの基本的な機能や仕組みについて理解する。
  • IAM設計
    →実際に会社などの組織でIAM設計を行う場合を想定した簡単なケーススタディを実施。
  • IAMグループへの ポリシー適用 (ハンズオン)
    →IAMポリシーを作ってIAMグループに適用するハンズ オンを実施。
  • IAMロールへの ポリシー適用 (ハンズオン)
    →IAMポリシーを作ってIAMロールに適用するハンズオ ンを実施。
  • AWS Organizations の概要
    → AWS Organizationsの内容と基本的な機能や役割を理解。
  • AWS Organizations の設定(ハンズオン)
    AWS Organizationsの設定のハンズオンを実施。

 

 

IAMの概要

 

・責任共有モデル

→セキュリティに対してAWSとユーザーとで責任分解して対応する責任共有モデルとなっている。

AWS側ではここまで責任持ちます、ユーザー側ではここまで管理してくださいねといったもの。

 

・IAMとは

AWS Identity and Access Management (IAM)は安全にAWS 操作を実施するための認証・認可の仕組み。

アクセス権限の管理全般。

個人ではEC2はアクセス可能だがS3はNGなど。

  • AWS利用者認証の実施
  • アクセスポリシーの設定
  • ユーザー個人またはグループ毎に設定

 

・主要トピック


→IAMの主要トピックはユーザー、グループ、ポリシー、ロールの4つ。

 

  • ユーザー、グループ
    ・ルートユーザー
    ・IAMユーザー

    ルートユーザー
    →最初に作成されるのがルートユーザーであり、通常の管理には利用しないアカウント。
    全てのAWSサービスとリソースを使用できる権限を持っているので、もし流出した場合リスクが高いので通常は使用しない。

    IAMユーザー
    →IAMポリシー内でAWSサービスを利用できるユーザー。
    基本操作はIAMユーザーで実施することになる。
      ⚪︎IAMユーザー
        設定上限→1アカウントで5000ユーザーまで作成可能
        設計内容→・ユーザー名
             ・パス(オプション)
              ⇨ユーザーにオプションとして設定できる情報
               であり、パスを元にユーザーの検索が可能と
               なる。組織階層やプロジェクトなどを設定で
               きる。 (例:/aws/sa/)
             ・所属グループ⇨10のグループまで設定可能
             ・パーミッションAWSサービスへのアクセス権限

      ⚪︎IAMグループ
        ・設定上限→1アカウントで100グループまで作成可能
        ・設計内容→グループ名
        ・パス(オプション)⇨組織階層などをセット 例)/aws/
        ・パーミッション
         ⇨グループに設定したパーミッションはIAMユーザーに付
          与したパーミッションと同時に評価する。


  • IAMポリシー
    →IAMポリシーを作成してユーザーなどへのアクセス権限を付与 (JSON形式の文書)

    ⚪︎管理ポリシー
     【AWS管理ポリシー】
       AWS側が作成および管理する管理ポリシー。
     【カスタム管理ポリシー】
       個々のAWSアカウントで作成・管理する管理ポリシー。
       同じポリシーを複数のIAMエンティティにアタッチできる。
       うちの会社ではこういうポリシーで作るよなど。

    ⚪︎インラインポリシー
      「⾃⾝で作成および管理するポリシー」
        1つのプリンシパルエンティティ (ユーザー、グループ、 また
        はロール) に埋め込まれた固有ポリシーで、プリン シパルエ
        ンティティにアタッチすることができる。

 

  • IAMロール
    AWSリソースに対してアクセス権限をロールとして付与できる。
    ポリシーはユーザーだけでなくリソースにも適用できる。
    S3バケットSNS、SQSなど。
    メッセージを送るサービスなどで送る先のアクセス権限を持っていると
    やりとりができる仕組みを作れるようになるから。