【AWSService】IAM
IAMサービスの概要
AWSサービス全般に対するアクセスを制御します。読み方は"アイアム"。
主に以下の2通りの制御を行う。
・IAM ユーザ、IAM グループの管理。
・ポリシーの管理。
AWSアカウント
一番初めに作成するアカウント。ルートアカウント。一般的にこのアカウントは通常時は使用しない。逆に使用する場合はセキュリティその他で問題あり。
何でも出来てしまうので使うべきではない。
ポリシー
ポリシーはIAMの中で重要な機能。またややこしいのでAWSに取り組む初心者で一番つまずきやすい。
ポリシーによりAWSサービスのアクセス制御を行う。誰でもなんでもアクセスできてはセキュリティ上困ってしまう。よってポリシーにより制御を行う。
(1)基本原則
AWSはデフォルトではすべてのリクエストが拒否される。ポリシーで緩和されていく。ただし拒否と許可のポリシーがある場合は拒否が優先される。
ブラックリスト方式の制御は行わない。(拒否するポリシーが膨大になるため)
(2)ポリシー構成
主に以下で構成される。(その他バージョンなど存在するがここでは理解を優先するため省略する)
1)効果(Effect)
許可(Allow) / 拒否(Deny)を設定する
2)アクション(Action)
Action では 許可(Allow) / 拒否(Deny)を設定する
NotActionでは上記以外のアクションを指定する。
3)リソース(Resource)
対象となるリソースを ARN 形式で指定する。
4)条件(Condition)
ポリシーが有効となる条件を指定する。
注意事項
AWSサービスによっては許可/拒否などサポートされていない場合がある。よって拒否したつもりでも拒否されていないということもある。必ずドキュメントでの確認と同時にテストでの検証が必須である。
�
個人的に独自に調査した事項をまとめています。各ベンダーとは全く関係がありません。
内容に誤りがある場合や情報が古くなっている場合があります。その場合でも修正されるとは限りません。
参考としてサイト閲覧ください。万が一誤りがあり損失等が発生しても保証しません。あくまでも自己責任でサイトを閲覧ください。