コンニチハ、BFT名古屋支店のヤタテです。
今回は、AWSの初級編としてIAMについて簡単にまとめてみたいと思います。 IAMを構成する要素、設定パラメータ等について覚書として残しておきます。
IAMはAWSリソースに対するアクセス制御を行うことができるサービスです。 IAMは以下の3つの機能からなります。
IAMポリシー
AWSリソースに対する読み取り、書き込みなどの操作権限を設定する。後述のIAMユーザーやIAMロールに対して割り当てる。
IAMユーザー
AWSマネージメントコンソールやAWS CLIにログインする際に使用するユーザーの定義。
IAMロール
AWSリソースが他のAWSリソースに対して操作を行うときの定義。
スイッチロールについて
IAMユーザーでログイン後、IAMロールへ遷移することをスイッチロールという。スイッチロールを利用することで、以下のような利点がある。
IAMのパラメータシート
IAMユーザーのパラメータ
ユーザー名
任意のユーザー名を設定する
アクセスの種類
- プログラムによるアクセス:AWS API、CLI、SDK などを利用する際にチェックを入れる
- AWS マネジメントコンソールへのアクセス:AWSマネジメントコンソールを利用する際にチェックを入れる(パスワードの設定が必要)
アクセス許可の設定
- ユーザーをグループに追加:既存のグループにユーザーを追加する。ポリシーはグループにアタッチしたものが適用される。
- アクセス権限を既存のユーザーからコピー:既存のユーザーにアタッチされたポリシーと同じものをアタッチする。
- 既存のポリシーを直接アタッチ:AWS公式が提供するポリシーや自分で作成したポリシーをアタッチする。
IAMグループのパラメータ
グループ名
任意のグループ名を設定する。
ポリシー
グループにアタッチするIAMポリシーを設定する。
IAMロールのパラメータ
ロール名
任意のロール名を設定する。
信頼されたエンティティ
AWSサービス:EC2、LambdaなどのAWSサービスに対して設定する。
アクセス権限ポリシー
ロールにアタッチするIAMポリシーを設定する。
ロール構築時の注意点
RDSなど一部のサービスに対するロールはポリシーやロール名が固定されていて変更できない場合がある。