通勤時間は2時間

日々のことを自由に書いています。

No.11 -IAM

今日は、課題とは少し外れてAWSのIAMについて1日かけて学習した。

 

せっかくなので、概要をここに記載する。

 

AWS Identity and Access Management(IAM)
  • AWS操作をよりセキュアに行うための認証・認可の仕組み
  • AWS利用者の認証と、アクセスポリシーを管理
    • AWS操作のためのグループ・ユーザー・ロールの作成が可能
    • グループ、ユーザーごとに、実行出来る操作を規定できる
    • ユーザーごとに認証情報の設定が可能
 
 
IAM動作イメージ
 APIやマネジメントコンソールからのアクセスに対して、権限をチェック。
    • 全操作可能ユーザー
    • S3はすべて可能ユーザー
    • S3参照だけ  など
 
AWSアカウント(root)ユーザー
  • AWSアカウント作成時のID
  • アカウントのすべてのAWSサービスとリソースへの完全なアクセス権限を持つ
  • アカウントの作成に使用したメールアドレスとパスワードでサインイン
  • 日常的なタスクには、それが管理者タスクであっても、rootユーザーを使用しないことを強く推奨
 
AWSのroot権限が必要な操作の例
 以下の操作にはAWSルート権限が必要となる。
  • AWS ルートアカウントのメールアドレスやパスワードの変更
  • IAMユーザーの課金情報へのアクセスに関するactivate/deactivate
  • 他のAWSアカウントへのRoute53のドメイン登録の移行
  • CloudFrontのキーペア作成
  • AWSサービス(サポート等)のキャンセル
  • AWSアカウントの停止
  • コンソリデイテッドビリングの設定
  • 脆弱性診断フォームの提出
  • 逆引きDNS申請
 
IAMユーザー
  • AWS操作用のユーザー
    • 1AWSアカウントで5000ユーザーまで作成可能
  • ユーザーごとに設定可能な情報
    • ユーザー名
      • IAMユーザーの識別と、マネジメントコンソールへのログインに使用
      • 64文字までのアルファベット、数字、+-=,.@_
    • パス(オプション)
      • ユーザーにオプションとしてセットできる情報
      • パスを元にユーザーの検索が可能
      • 組織階層やプロジェクトなどをセット 例)/aws/sa/
      • 512文字までのBasic Latin文字(アルファベット、数字、!"#$%&'()=~∼|-‐‑‒^@`̀{[}]*:+;?_̲)
      • 開始と終了が / であること
    • 所属グループ
      • 10のグループまで設定可能
    • パーミッション
      • AWSサービスへのアクセス権限
      • JSON形式でポリシーを記述
 
IAMユーザー
  • IAMユーザーをまとめるグループ
    • 1AWSアカウントで100グループまで作成可能
  • グループに設定可能な情報

 

夜はCEOの誘いで、常勤の男子メンバー5人で一人2杯まで!というプチ飲み会。

もちろんここでもコミュニケーションは英語メイン。早く自由に議論できるレベルまでレベルアップしないととつくづく思った。