AWS のお勉強(IAM)
昨年の九月に仕事を辞めて以来、ブラブラしていたのだが、そろそろ腰を据えて社会復帰の準備をを考え始めた。とりあえず、リハビリがてらAWS のお勉強を始めている。
メモ代わりにここに記録を残していこうと思う。
IAM (Identiry Access Management)
IAM というのは、AWS コンソールにおける権限管理の仕組みである。ユーザーA にはS3 の読み取り権限のみを、ユーザーB には管理者権限を与える、などの操作が可能である。元々、AWS 利用申請が受理された時点では、root ユーザー(これは申請時のメールアドレスを使用してログインする)のみ利用可能であるが、名前の通りなんでもできるアカウントであるため、root ユーザーは極力使わず、IAM ユーザーを使用することが強く奨められている。
(ただし、CloudFront キーペアの作成など、一部作業はroot アカウントでないとおこなえないため、それら作業の時にはroot ユーザーを使用する必要がある)
主な特徴は以下の通り
- 1 AWS アカウントで5000ユーザーまで作成可能
- 1 IAM ユーザーは10までのグループに所属できる
- 1 AWS アカウントで100グループまで作成可能
- ユーザーは、文字通り、AWS Console を利用するユーザー個々人を指す
- グループは、Administrator, Developer, Designer の用に作成し、ユーザーと紐付ける。グループにポリシーをアタッチすることで、個々のユーザーを作成するたびにポリシーやロールをアタッチする煩雑さを減らす
- ポリシーはAWS のリソースに対する権限をJSON 形式で記した者で、これをグループやロール、ユーザーにアタッチすることで権限を付与する
- ロールはポリシーの集合で、これを作り、付与することで、一つ一つポリシーをアタッチする煩雑さを省略する
- IAM の管理はグローバルにおこなわれ、特定リージョンのみに有効なIAM ユーザーなどの作成はおこなえない
その他、認証情報の有効期限とかSwitch Role / クロスアカウントアクセスとかもあるけど今回は割愛。