AWSアクセス管理(IAM周り)

どうも、しゅんです。

今回は、IAMAWS Identity and Access Management)について触れていきたいと思います。

IAMでは、AWSユーザーの管理や認証、サービスやリソースへのアクセス制御を管理することができます。

AWSアカウント

 AWSを利用する際、初めにAWSアカウントを作成します。

アカウント作成時に入力した、「メールアドレス」と「パスワード」を用いて、自身のAWSマイページ(AWSマネジメントコンソール)へログインすることができるようになります。

 

この初回に作成するAWSアカウントのことをルートユーザーと呼び、

当ユーザーは、自身のアカウント内のすべてのAWSサービスやリソースに対するフルアクセス権限を持ちます。

→会社の中で例えると、社長(※会長がいるところもありますが)に相当

 

ルートユーザーの特権としては、以下のようなものを有しています。

AWSアカウントのメールアドレスやパスワードの変更

・IAMユーザー(ルートユーザーより下位のユーザー※詳細は後述)の課金情報に対するアクセス許可/拒否の設定

AWSサポートプランの変更

 

ここで気を付けないといけないのは、悪意のある第三者などによってルートユーザーが乗っ取られないようにすることです。

このルートユーザーは前述した通り、最強のアカウントとなりますので、乗っ取られた場合は、全権限を奪われることになります。

そこで、AWSでは多要素認証という認証方式を使用することができるため、この認証方式を取り入れた方がよさそうです。

→もちろん、完全にリスクを回避できるといったことはできないのですが、何も対策を講じていない状態から比べると、だいぶんセキュリティ面は向上できると思います

②IAMユーザー 

 AWSを操作するユーザーを、1つのAWSアカウントで5000ユーザーまで作成することができます。

AWSマイページ(AWSマネジメントコンソール)へのログイン方法は、IAMユーザーを作成した際に発行した「ユーザー名」と「パスワード」になります。

③IAMグループ

IAMユーザーをまとめたグループを、1つのAWSアカウントで300グループまで作成することができます。

IAMユーザーが所属できるグループは、最大10グループまで。

 アクセス制御ポリシー付与

 前述の「IAMユーザー」と「IAMグループ」にポリシー(権限など)を割り当て、サービスやリソースへのアクセス制御を行います。

IAMユーザーにポリシーを直接付与した場合のイメージ

f:id:artistyuiguitarelegance:20201118161922p:plain

IAMユーザーにポリシーを直接付与

この場合、ユーザー単位でポリシーを割り当てる必要があるので、ユーザー数が増えれば増えるほど、ポリシーの管理が手間になる場合があります。

IAMグループにポリシーを付与した場合のイメージ

f:id:artistyuiguitarelegance:20201118162057p:plain

IAMグループにポリシーを付与

この場合、グループにポリシーを 割り当てるため、ユーザー数が増えてもポリシーの管理が手間となりにくいです。

IAMポリシーの設定方法

IAMポリシーの設定方法としては、以下の方法があります。

JSON(コードを記載していくため、JSONの記載ルールを知っておく必要があります)

・ビジュアルエディタ(画面上からポチポチ触って設定をしていきます)

・インポート(以前作成したことのあるポリシーをインポートします)

 

※設定の内容につきましては、本記事では触れておりませんのでご了承くださいませ

最後に

以上、IAM周りについて、触れてみました。

記事中の誤り、不備などございましたら、コメントいただけますと幸いでございます。

 

それでは今回はこの辺で✋

See you next time then.