Veltioblog

AWS IAM のユーザーガイドを読んだ

AWS IAM のユーザーガイドを読んだときのノート


Table of contents

基本的に、IAM とは - AWS Identity and Access Management を読み進めていく感じになる。

IAM とは

AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全に管理するためのウェブサービスです。IAM を使用すると、ユーザーがアクセスできる AWS のリソースを制御するアクセス許可を集中管理できます。IAM により、誰を認証 (サインイン) し、誰にリソースの使用を承認する (アクセス許可を持たせる) かを制御します。

引用: IAM とは - AWS Identity and Access Management

要は AWS サービスの認証認可の役割を担ってくれるサービス

IAM の機能

IAM へのアクセス

以下のいずれかの方法で IAM を使用できる。

IAM をいつ使用するか

IAM をいつ使用しますか? - AWS Identity and Access Management

このページはユースケースが書いてるので、ざっと読んでとりあえず知っておく。

IAM ロールを引き受けるとき

IAM の仕組み

IAM の仕組み - AWS Identity and Access Management

IAM のインフラストラクチャーは以下のようになっている。

aws iam インフラストラクチャー図 IAM の仕組み - AWS Identity and Access Managementより引用

基本概念

規約

IAM 用語集

Principal

プリンシパルとは、AWS リソースに対するアクションまたはオペレーションをリクエストできる人間の ID またはワークロードです。認証後、プリンシパルには、プリンシパルのタイプに応じて、AWS にリクエストを行うための永続的または一時的な認証情報を付与できます。IAM ユーザーとルートユーザーには永続的な認証情報が付与され、ロールには一時的な認証情報が付与されます。ベストプラクティスとして、人間のユーザーとワークロードに一時的な認証情報を使用して AWS のリソースにアクセスさせることをお勧めします。

あとで読む: IAM でのセキュリティのベストプラクティス - AWS Identity and Access Management

リクエスト

プリンシパルがマネジメントコンソールや、API、CLI を使用するときに AWS に送信されるリクエスト情報について。

認可について

リクエストの評価ロジック

もっと知りたい場合はこちら: ポリシーの評価論理 - AWS Identity and Access Management

IAM のアクセス許可とポリシー

ポリシーとグループ

ユーザーを IAM グループにまとめ、そのグループにポリシーもアタッチできる。 アクセス管理の概要: アクセス許可とポリシー - AWS Identity and Access Managementより引用

使用目的

ポリシーアタッチするときだいたいこれ使う気がする。ユーザー個人への権限をつけるより、組織(チーム)に対する権限の付与と考えるほうがシンプルだし、所属が変わったときのポリシーの変更も容易。

🐠 ABAC とは

AWS の ABAC とは - AWS Identity and Access Management

属性ベースのアクセス制御 (ABAC) は、属性に基づいて許可を定義する認可戦略です。これらの属性は、AWS でタグと呼ばれています。タグは、IAM エンティティ (ユーザーまたはロール) を含めた IAM リソース、および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または少数のポリシーのセットを作成できます。これらの ABAC ポリシーは、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。ATBAC は、急成長する環境や、ポリシー管理が煩雑になる状況で役に立ちます。

要はタグベースのポリシー設計ってことかな 🤔

より具体的に理解したい場合は、チュートリアル: IAM チュートリアル: タグに基づいて AWS リソースにアクセスするためのアクセス許可を定義する - AWS Identity and Access Managementを読むと良さそう。

まとめ

まだドキュメント読んで学習中だが、ABAC なんかは特に実際に試してみないと理解が進まないなと感じたので、今度実際に試しみて、学びがあれば追加でブログを書く予定だ。

IAM のドキュメントを最初から真面目に読んだのは初めてで、意外と知らなかったことが多かったり、知っていた知識についてもより説得力のある情報を得られたりしたので良かったです。😄