AWS のお勉強(IAM)

 昨年の九月に仕事を辞めて以来、ブラブラしていたのだが、そろそろ腰を据えて社会復帰の準備をを考え始めた。とりあえず、リハビリがてらAWS のお勉強を始めている。

 メモ代わりにここに記録を残していこうと思う。



IAM (Identiry Access Management)

 IAM というのは、AWS コンソールにおける権限管理の仕組みである。ユーザーA にはS3 の読み取り権限のみを、ユーザーB には管理者権限を与える、などの操作が可能である。元々、AWS 利用申請が受理された時点では、root ユーザー(これは申請時のメールアドレスを使用してログインする)のみ利用可能であるが、名前の通りなんでもできるアカウントであるため、root ユーザーは極力使わず、IAM ユーザーを使用することが強く奨められている。
 (ただし、CloudFront キーペアの作成など、一部作業はroot アカウントでないとおこなえないため、それら作業の時にはroot ユーザーを使用する必要がある)


 主な特徴は以下の通り

  • 1 AWS アカウントで5000ユーザーまで作成可能
  • 1 IAM ユーザーは10までのグループに所属できる
  • 1 AWS アカウントで100グループまで作成可能
  • ユーザーは、文字通り、AWS Console を利用するユーザー個々人を指す
  • グループは、Administrator, Developer, Designer の用に作成し、ユーザーと紐付ける。グループにポリシーをアタッチすることで、個々のユーザーを作成するたびにポリシーやロールをアタッチする煩雑さを減らす
  • ポリシーはAWS のリソースに対する権限をJSON 形式で記した者で、これをグループやロール、ユーザーにアタッチすることで権限を付与する
  • ロールはポリシーの集合で、これを作り、付与することで、一つ一つポリシーをアタッチする煩雑さを省略する
  • IAM の管理はグローバルにおこなわれ、特定リージョンのみに有効なIAM ユーザーなどの作成はおこなえない


 その他、認証情報の有効期限とかSwitch Role / クロスアカウントアクセスとかもあるけど今回は割愛。