どうも、しゅんです。
今回は、IAM(AWS Identity and Access Management)について触れていきたいと思います。
IAMでは、AWSユーザーの管理や認証、サービスやリソースへのアクセス制御を管理することができます。
①AWSアカウント
アカウント作成時に入力した、「メールアドレス」と「パスワード」を用いて、自身のAWSマイページ(AWSマネジメントコンソール)へログインすることができるようになります。
この初回に作成するAWSアカウントのことをルートユーザーと呼び、
当ユーザーは、自身のアカウント内のすべてのAWSサービスやリソースに対するフルアクセス権限を持ちます。
→会社の中で例えると、社長(※会長がいるところもありますが)に相当
ルートユーザーの特権としては、以下のようなものを有しています。
・AWSアカウントのメールアドレスやパスワードの変更
・IAMユーザー(ルートユーザーより下位のユーザー※詳細は後述)の課金情報に対するアクセス許可/拒否の設定
・AWSサポートプランの変更
ここで気を付けないといけないのは、悪意のある第三者などによってルートユーザーが乗っ取られないようにすることです。
このルートユーザーは前述した通り、最強のアカウントとなりますので、乗っ取られた場合は、全権限を奪われることになります。
そこで、AWSでは多要素認証という認証方式を使用することができるため、この認証方式を取り入れた方がよさそうです。
→もちろん、完全にリスクを回避できるといったことはできないのですが、何も対策を講じていない状態から比べると、だいぶんセキュリティ面は向上できると思います
②IAMユーザー
AWSを操作するユーザーを、1つのAWSアカウントで5000ユーザーまで作成することができます。
AWSマイページ(AWSマネジメントコンソール)へのログイン方法は、IAMユーザーを作成した際に発行した「ユーザー名」と「パスワード」になります。
③IAMグループ
IAMユーザーをまとめたグループを、1つのAWSアカウントで300グループまで作成することができます。
IAMユーザーが所属できるグループは、最大10グループまで。
アクセス制御ポリシー付与
前述の「IAMユーザー」と「IAMグループ」にポリシー(権限など)を割り当て、サービスやリソースへのアクセス制御を行います。
IAMユーザーにポリシーを直接付与した場合のイメージ
この場合、ユーザー単位でポリシーを割り当てる必要があるので、ユーザー数が増えれば増えるほど、ポリシーの管理が手間になる場合があります。
IAMグループにポリシーを付与した場合のイメージ
この場合、グループにポリシーを 割り当てるため、ユーザー数が増えてもポリシーの管理が手間となりにくいです。
IAMポリシーの設定方法
IAMポリシーの設定方法としては、以下の方法があります。
・JSON(コードを記載していくため、JSONの記載ルールを知っておく必要があります)
・ビジュアルエディタ(画面上からポチポチ触って設定をしていきます)
・インポート(以前作成したことのあるポリシーをインポートします)
※設定の内容につきましては、本記事では触れておりませんのでご了承くださいませ
最後に
以上、IAM周りについて、触れてみました。
記事中の誤り、不備などございましたら、コメントいただけますと幸いでございます。
それでは今回はこの辺で✋
See you next time then.
