[SAA資格勉強]IAMを学んでみた

SHARE

はじめに

FundastA Inc.の鈴木です。

現在、AWS ソリューションアーキテクトアソシエイト試験合格に向け AWS について勉強中です。

今回は IAM について勉強したことを備忘録として、記述していきます。

IAM とは

アカウント管理を行い、AWS 利用者認証の実施やアクセスポリシーの設定を行う。

※アクセスポリシーとは

アクセス制御を行う個人または、グループに設定:グループごとの管理や個人アカウントの作成するための機能

 

ルートユーザー

  • AWS アカウント作成時に作られる ID アカウント
  • 全ての AWS サービスとリソースを使用できる権限を有するユーザー
  • ⽇常的なタスクはルートユーザーを使用しないことが強く推奨されている。
※アカウント登録時以外は使わないのが鉄則、基本は IAM ユーザーでアクセスする。

ルートユーザーの実施権限

  • AWS ルートアカウントのメールアドレスやパスワードの変更
  • IAM ユーザーの課⾦情報へのアクセスに関するactivate/deactivate
  • 他の AWS アカウントへの Route53 のドメイン登録の移行
  • CloudFront のキーペアの作成
  • AWS サービス(サポート等)のキャンセル
  • AWS アカウントの停⽌
  • コンソリデイテッドビリングの設定
  • 脆弱性診断フォームの提出
  • 逆引き DNS 申請

IAM ポリシー

Json 形式で設定されているアクセス許可を設定したり、
ユーザーなどへの AWS リソースへのアクセス権限を付与します。

ポリシータイプ

  • SCP :AmazonOrganization で使用されるポリシー
  • ACL :ネットワーク ACL でネットワーク制御を行う。
  • セッションポリシー:一時的なアクセス許可を上げるポリシー

IAM ユーザー

ルートアカウント IAM ではなく、日常タスクはルートユーザーを使用しないことが強く推奨される。
設定上限があり、1 アカウントで 5000 ユーザーまで作成可能

IAM ロール

  • AWS リソースに対してアクセス権限をロールとして付与できる。(ユーザーに付与されるものではない)

  • 権限移譲一時的な権限も可能

IAM ユーザーアクティビティ

記録ツール

  • IAM アクセスアナライザー
    • 不正に使用されていないかを確認する。 S3 外部エンティティで共有されている S3 バケットやIAMロールなど分析
  • AccessAdvisor の ServiceLastAccessedReport
    • IAM エンティティが最後にアクセスした日付表示
  • CredentialReport
    • IAM 認証情報のレポートファイル
  • AWSConfig
    • IAM の変更履歴を通知してくれる機能
  • AWSCloudTrail
    • AWS インフラストラクチャ全体で、アカウントアクティビティログを取得

 

ベストプラクティス

AWS 公式ドキュメントが定める AWS リソースセキュリティ確保のための推奨事項です。

下記サイトに記載されているベストプラクティスをイメージしておくと、試験の時に解答を絞り込むことができるかもしれません。

出典:IAM でのセキュリティのベストプラクティス

AWSOrganizations

複数の AWS アカウントを利用している場合に統合管理を実施することができる。
統合管理を実施できるのは、マスターアカウントにおいて実施できる。それ以外は実施できない。

やれること

  • 一括請求
  • 一元管理
  • 新規アカウント作成の自動化

コストメリット

ユーザがサービスをより多く使用すればするほど、低価格となるボリューム価格が適用されて、コスト削減される。

おわり

IAM を勉強して、ユーザーの管理によってチーム別やユーザーごとでのアクセス許可を付与することで、間違ってデータを消去するなどといったミスを防ぐことができるので、管理が楽になるなと感じました。

またハンズオンで触ってみると理解が深まるので、触ってみるとよいかもしれません。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


前の記事

初めてのFlutterでHive導入

次の記事

[SAA資格勉強]S3を学んでみた①