BFT名古屋 TECH BLOG

日々の業務で得た知識を所属するエンジニアたちがアウトプットしていきます。

【AWS】初級編 IAM(アイアム)

コンニチハ、BFT名古屋支店のヤタテです。

今回は、AWSの初級編としてIAMについて簡単にまとめてみたいと思います。 IAMを構成する要素、設定パラメータ等について覚書として残しておきます。

IAMはAWSリソースに対するアクセス制御を行うことができるサービスです。 IAMは以下の3つの機能からなります。

f:id:bftnagoya:20210326091450p:plain

IAMポリシー

 AWSリソースに対する読み取り、書き込みなどの操作権限を設定する。後述のIAMユーザーやIAMロールに対して割り当てる。

IAMユーザー

 AWSマネージメントコンソールやAWS CLIにログインする際に使用するユーザーの定義。

IAMロール

 AWSリソースが他のAWSリソースに対して操作を行うときの定義。

スイッチロールについて

IAMユーザーでログイン後、IAMロールへ遷移することをスイッチロールという。スイッチロールを利用することで、以下のような利点がある。

  • 1つのIAMユーザーで複数の権限を使い分けることができる
  • AWSリソースを操作する際にIAMユーザーのIPアドレス制限に引っかかることなく操作できる。

IAMのパラメータシート

IAMユーザーのパラメータ

ユーザー名

 任意のユーザー名を設定する

アクセスの種類
  • プログラムによるアクセス:AWS APICLISDK などを利用する際にチェックを入れる
  • AWS マネジメントコンソールへのアクセス:AWSマネジメントコンソールを利用する際にチェックを入れる(パスワードの設定が必要)
アクセス許可の設定
  • ユーザーをグループに追加:既存のグループにユーザーを追加する。ポリシーはグループにアタッチしたものが適用される。
  • アクセス権限を既存のユーザーからコピー:既存のユーザーにアタッチされたポリシーと同じものをアタッチする。
  • 既存のポリシーを直接アタッチ:AWS公式が提供するポリシーや自分で作成したポリシーをアタッチする。

IAMグループのパラメータ

グループ名

 任意のグループ名を設定する。

ポリシー

 グループにアタッチするIAMポリシーを設定する。

IAMロールのパラメータ

ロール名

 任意のロール名を設定する。

信頼されたエンティティ

 AWSサービス:EC2、LambdaなどのAWSサービスに対して設定する。

アクセス権限ポリシー

 ロールにアタッチするIAMポリシーを設定する。

ロール構築時の注意点

 RDSなど一部のサービスに対するロールはポリシーやロール名が固定されていて変更できない場合がある。