本棚登録 : 
感想 : 
AWSを利用するためには最初にAWS Accountを取得する。この最初に作成するAccountはRoot userと呼ばれる。AWSの通常利用時は、このユーザーを利用せず、Identity and Access Management; IAMでIAM userやIAM groupを作成し、適切な権限(IAM policy)を与えて利用することが推奨される。
IAMはAWS利用者にAWSへのアクセスを制御するための仕組み。略語が「私は」を意味するI amと同じで、よくできている。IAMはGlobal Serviceであり、Region毎の作成は不要。一度作成したIAM roleやIAM policyは他のRegionでもそのまま利用できる。
IAM userの作成時にユーザーに対して設定できる2種類のアクセス方法は、プログラムによるアクセスとAWS Management Consoleへのアクセスである。AWS CLIやAWS SDKはIAM user毎に作成するAccess Key IDとSecret Access Keyを利用する。
IAM userの作成直後は権限が付与されていない。IAM policyの割り当てが必要である。IAM userにIAM policyを直接割り当てることもできるが、IAM userをIAM groupに所属させ、IAM groupにIAM policyを割り当てた方が管理しやすくなる。IAM userが所属できるグループの上限は10個である。
IAM policy はJSON形式で記述する。IAM policyでコントロール可能なアクションには、VPCセキュリティグループの設定、RDSデータベースの作成、S3バケットの作成、強度の高いパスワードのみを認めるなどのパスワードポリシーがある。
IAM policyには以下の3種類がある。
第一にAWS管理ポリシーである。AWSが管理する事前定義されたポリシー。管理用のユーザー向けのポリシーにAdministratorAccessがある。
第二にカスタマー管理ポリシーである。ユーザー自身で作成・カスタマイズする。
第三にインラインポリシーである。IAM userやIAM group, IAM roleに埋め込まれているポリシーに対してポリシー設定を個別に反映する
特定のIAM userにAWSのBilling and Cost Management Consoleのページを表示するアクセス権限を付与するIAM policyは以下。
{“Effect”: “Allow”, “Action”: “aws-portal: ViewBilling”, “Resource”: “*”}
特定のIAM userにAWS使用状況レポートを表示するアクセス権限を付与するIAM policyは以下。
{“Effect”: “Allow”, “Action”: “aws-portal: ViewUsage”, “Resource”: “*”}
IAM RoleはIAM PolicyをuserではなくEC2 instanceなどに割り当てるもの。
0
- 感想投稿日 : 2020年9月28日
- 読了日 : 2020年9月28日
- 本棚登録日 : 2020年9月28日
みんなの感想をみる
